SlideShare una empresa de Scribd logo

Analisis gestion de riesgos

M
mendozanet

Auditoria

Tecnología
1 de 52
Descargar para leer sin conexión
Ing. Mendoza Corpus Carlos
 La guerra es un asunto de importancia vital para el Estado; un asunto de vida o muerte, el camino hacia la supervivencia o la destrucción. Por lo tanto, es imperativo estudiarla profundamente.  Hay que valorarla en términos de cinco factores fundamentales, y hacer comparaciones entre diversas condiciones de los bandos antagonistas, de cara a determinar el resultado de la contienda.  El primero de estos factores es la política; el segundo, el clima; el tercero, el terreno; el cuarto, el comandante; y el quinto, la doctrina.  Mediante todo esto, uno puede adivinar el resultado final de la batalla. El arte de la guerra Sun Tzu, 2.000 a.C.
 ¿Seguro con respecto a qué? ◦ Para el dinero, para sus empleados, para sus clientes.  ¿Ante qué es seguro? ◦ Un robo, un incendio, una crisis económica, etc.  ¿Qué medidas incluye para aumentar la seguridad?  ¿El reducir la cantidad de dinero efectivo, aumenta la seguridad?  ¿Las medidas de seguridad hacen que no exista ningún riesgo para el banco?
Pérdida de Perjuicio de la beneficios reputación Pérdida o Deterioro de la compromiso confianza del de la seguridad inversor de los datos Deterioro de la Interrupción de confianza del Consecuencias los procesos cliente legales empresariales
 Seguridad es la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
 La norma UNE-ISO/IEC 17799 define la seguridad de la información como la preservación de... ◦ ... su confidencialidad.  Sólo quienes estén autorizados pueden acceder a la información. ◦ ... su integridad.  La información y sus métodos de proceso son exactos y completos. ◦ ... su disponibilidad.  Los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.
 Protegemos los activos.  Se denominan activos los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección.
 El activo esencial es la información que maneja el sistema; o sea los datos. Y alrededor de estos datos se pueden identificar otros activos relevantes: ◦ Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos. ◦ Las aplicaciones informáticas (software) que permiten manejar los datos. ◦ Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y servicios. ◦ Los soportes de información que son dispositivos de almacenamiento de datos. ◦ El equipamiento auxiliar que complementa el material informático. ◦ Las redes de comunicaciones que permiten intercambiar datos. ◦ Las instalaciones que acogen equipos informáticos y de comunicaciones. ◦ Las personas que explotan u operan todos los elementos anteriormente citados.
 Protegemos los activos de las amenazas.  Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño.
 Las vulnerabilidades son debilidades asociadas a activos de información. En sí mismas no causan daño.  Esas debilidades pueden ser explotadas por amenazas que pueden causar una rotura de seguridad que tenga como consecuencia daño o perdida de esos activos de información
 Reduciendo su riesgo.  El riesgo es una estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización (impacto).  El riesgo crece con el impacto y con la frecuencia.
 Implantar controles o salvaguardas con el objetivo de reducir el riesgo.  Las salvaguardas pueden tener vulnerabilidades por lo que es necesario realizar pruebas y seguimiento de las mismas.  La seguridad absoluta no existe ◦ siempre hay que aceptar un riesgo que, eso sí, debe ser conocido y sometido al umbral de calidad que se requiere del servicio.
 ACTIVO: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección.  Vulnerabilidades: debilidades asociadas a activos de información  AMENAZA: Evento que puede desencadenar un incidente en la organización, produciendo daños o pérdidas en sus activos.  RIESGO: Posibilidad de que una amenaza se materialice.  IMPACTO: Consecuencia sobre un activo de la materialización de una amenaza.  CONTROL: Práctica, procedimiento o mecanismo que reduce el nivel de riesgo.
 Es de sentido común que no se puede invertir en salvaguardas más allá del valor de los propios activos a proteger.
 Evaluación ◦ Evaluar y valorar los activos ◦ Identificar los riesgos de la seguridad ◦ Analizar y asignar prioridad a los riesgos de la seguridad  Desarrollo e implementación ◦ Desarrollar métodos correctivos de seguridad ◦ Probar los métodos correctivos de seguridad ◦ Obtener información de seguridad  Funcionamiento ◦ Volver a valorar los activos nuevos y los que han sufrido cambios, así como los riesgos de seguridad ◦ Estabilizar e implementar medidas preventivas nuevas o que han cambiado
1 2 Identificación Análisis 5 3 Declaración de Control Plan riesgos 4 Seguimiento
 Análisis de riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización.  Gestión de riesgos: selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Análisis de riesgos + Tratamientos de riesgos = Gestión de riesgos
 Paso 1. Identificar los activos.  Paso 2. Valorar los activos.  Paso 3. Identificar las amenazas.  Paso 4. Determinar el impacto de una amenaza.  Paso 5. Determinación del riesgo.  Paso 6. Establecer salvaguardas.  Paso 7. Revisión del paso 4, determinar el impacto residual.  Paso 8. Revisión del paso 5, determinar el riesgo residual.
 ¿Por qué interesa un activo? Por lo que vale. ◦ Si algo no vale para nada, prescíndase de ello. Si no se puede prescindir impunemente de un activo, es que algo vale; eso es lo que hay que averiguar pues eso es lo que hay que proteger.  El valor de un activo puede ser propio o acumulado. ◦ Si un activo A depende de otro activo B, el valor de B se incrementa.
 La valoración es la determinación del coste que supondría salir de una incidencia que degradara el activo.  Hay muchos factores a considerar: ◦ coste de reposición: adquisición e instalación ◦ coste de mano de obra (especializada) invertida en recuperar (el valor) del activo ◦ lucro cesante: pérdida de ingresos ◦ capacidad de operar: confianza de los usuarios y proveedores que se traduce en una pérdida de actividad o en peores condiciones económicas ◦ sanciones por incumplimiento de la ley u obligaciones contractuales ◦ daño a otros activos, propios o ajenos ◦ daño a personas ◦ daños medioambientales.
 La valoración puede ser cuantitativa (con una cantidad numérica) o cualitativa (en alguna escala de niveles). Los criterios más importantes a respetar son: ◦ la homogeneidad: es importante poder comparar valores aunque sean de diferentes dimensiones a fin de poder combinar valores propios y valores acumulados, así como poder determinar si es más grave el daño en una dimensión o en otra ◦ la relatividad: es importante poder relativizar el valor de un activo en comparación con otros activos
 D disponibilidad ◦ ¿Qué importancia tendría que el activo no estuviera disponible?  I integridad ◦ ¿Qué importancia tendría que el activo fuera modificado fuera de control?  C confidencialidad ◦ ¿Qué importancia tendría que el activo fuera conocido por personas no autorizadas?  A autenticidad ◦ ¿Qué importancia tendría que quien accede al activo no sea realmente quien se cree?  T trazabilidad (accountability) ◦ ¿Qué importancia tendría que no quedara constancia del uso del activo?
1. El servidor proporciona una funcionalidad básica pero no tiene un impacto financiero en el negocio. 3. El servidor contiene información importante, pero los datos se pueden recuperar rápida y fácilmente. 5. El servidor contiene datos importantes que llevaría algún tiempo recuperar. 8. El servidor contiene información importante para los objetivos empresariales de la compañía. La pérdida de este equipamiento tendría un efecto considerable en la productividad de todos los usuarios. 10.El servidor tiene un efecto considerable en el negocio de la compañía. La pérdida de este equipamiento resultaría en una desventaja con respecto a la competencia.
Tipos de amenazas Ejemplos Falsificar mensajes de correo electrónico Suplantación Reproducir paquetes de autenticación Alterar datos durante la transmisión Alteración Cambiar datos en archivos Eliminar un archivo esencial y denegar este hecho Repudio Adquirir un producto y negar posteriormente que se ha adquirido Exponer la información en mensajes de error Divulgación de información Exponer el código de los sitios Web Inundar una red con paquetes de sincronización Denegación de servicio Inundar una red con paquetes ICMP falsificados Explotar la saturación de un búfer para obtener privilegios Elevación de en el sistema privilegios Obtener privilegios de administrador de forma ilegítima
 Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuantía.  Una vez determinado que una amenaza puede perjudicar a un activo, hay que estimar cuán vulnerable es el activo, en dos sentidos: ◦ degradación: cuán perjudicado resultaría el activo ◦ frecuencia: cada cuánto se materializa la amenaza
 Se denomina impacto a la medida del daño sobre el activo derivado de la materialización de una amenaza.
 DREAD ◦ Daño ◦ Capacidad de reproducción ◦ Capacidad de explotación ◦ Usuarios afectados ◦ Capacidad de descubrimiento
 Las salvaguardas entran en el cálculo del riesgo de dos formas: ◦ Reduciendo la frecuencia de las amenazas. Se llaman salvaguardas preventivas. Las ideales llegan a impedir completamente que la amenaza se materialice. ◦ Limitando el daño causado. Hay salvaguardas que directamente limitan la posible degradación, mientras que otras permiten detectar inmediatamente el ataque para frenar que la degradación avance. Incluso algunas salvaguardas se limitan a permitir la pronta recuperación del sistema cuando la amenaza lo destruye. En cualquiera de las versiones, la amenaza se materializa; pero las consecuencias se limitan.
 Las salvaguardas se caracterizan, además de por su existencia, por su eficacia frente al riesgo que pretenden conjurar.  La salvaguarda ideal es 100% eficaz, lo que implica que:  es teóricamente idónea  está perfectamente desplegada, configurada y mantenida  se emplea siempre  existen procedimientos claros de uso normal y en caso de incidencias los usuarios están formados y concienciados  existen controles que avisan de posibles fallos  Entre una eficacia del 0% para aquellas que están de adorno y el 100% para aquellas que son perfectas, se estimará un grado de eficacia real en cada caso concreto.
 Algunas salvaguardas, notablemente las de tipo técnico, se traducen en el despliegue de más Equipamiento que se convierte a su vez en un activo del sistema. ◦ Estos activos soportan parte del valor del sistema y están a su vez sujetos a amenazas que pueden perjudicar a los activos de valor.  Hay que repetir el análisis de riesgos, ampliándolo con el nuevo despliegue de medios y, por supuesto, cerciorarse de que el riesgo del sistema ampliado es menor que el del sistema original; es decir, que las salvaguardas efectivamente disminuyen el estado de riesgo de la Organización.
 Si se puede, se evita  Si no, hay que plantear una estrategia ◦ hay que tener medidas preventivas ◦ hay que tener un plan de emergencia ◦ hay que tener un plan de recuperación
 Controles disuasorios: reducen la posibilidad de incidente (cámaras de vigilancia).  Controles preventivos: reduce la vulnerabilidad (ej. Parches en los Sistemas operativos)  Controles detectores: detectan incidente en curso (sensores IDS en las redes).  Controles correctivos: posterior al incidente (copias de seguridad).
 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.  Promovido por CSAE: Consejo Superior de Administración Electrónica.
 Directos: ◦ concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo ◦ ofrecer un método sistemático para analizar tales riesgos ◦ ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.  Indirectos: ◦ preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso
 The Security Risk Management Guide. ◦ Microsoft.  MAGERIT – versión 2 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. ◦ Ministerio español de Administraciones Públicas  Fundamentos de seguridad – Microsoft Technet.

Recomendados

Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgossgalvan
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgosUniversidad Tecnológica
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Marcos Harasimowicz
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos IITensor
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgosKarlita G Martín
 
Análisis de riesgos informáticos
Análisis de riesgos informáticosAnálisis de riesgos informáticos
Análisis de riesgos informáticosJuanita Noemy Miniano Corro
 
Riesgo seguridad
Riesgo seguridadRiesgo seguridad
Riesgo seguridadALEXANDRA MURCIA CAMACHO
 

Recomendados

Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgossgalvan
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgosUniversidad Tecnológica
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Marcos Harasimowicz
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos IITensor
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgosKarlita G Martín
 
Análisis de riesgos informáticos
Análisis de riesgos informáticosAnálisis de riesgos informáticos
Análisis de riesgos informáticosJuanita Noemy Miniano Corro
 
Riesgo seguridad
Riesgo seguridadRiesgo seguridad
Riesgo seguridadALEXANDRA MURCIA CAMACHO
 
Póster Cursos Seguridad Privada Nacional
Póster Cursos Seguridad Privada NacionalPóster Cursos Seguridad Privada Nacional
Póster Cursos Seguridad Privada NacionalGonzalo Espinosa
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
Seguridad privada
Seguridad privadaSeguridad privada
Seguridad privadaIsrael Angeles Razo
 
Evaluación de riesgos
Evaluación de riesgosEvaluación de riesgos
Evaluación de riesgosDoris Suquilanda
 
Diplomado de seguridad integral
Diplomado de seguridad integralDiplomado de seguridad integral
Diplomado de seguridad integralJesus Jose Salas Gonzalez
 
Prevencion de perdidas
Prevencion de perdidasPrevencion de perdidas
Prevencion de perdidasENTERPRISE PROTECTIVE SERVICES
 
La seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioLa seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioJavier Cao Avellaneda
 
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1Jack Daniel Cáceres Meza
 
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Jack Daniel Cáceres Meza
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadHarold Morales
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Expositor Jorge Dominguez-Perú
Expositor Jorge Dominguez-PerúExpositor Jorge Dominguez-Perú
Expositor Jorge Dominguez-Perúsuperbancosec
 
Red segura
Red seguraRed segura
Red segurarosslili
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Ciro Bonilla
 
Programas de Control de Perdidas
Programas de Control de PerdidasProgramas de Control de Perdidas
Programas de Control de PerdidasUniversidad Autónoma de Santo Domingo
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones EstratégicasIntegración de Soluciones Estrategicas
 
gestion seguridad informatica
gestion seguridad informatica gestion seguridad informatica
gestion seguridad informaticaG Hoyos A
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática Luis Fernando Aguas Bucheli
 
Plan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de CómputoPlan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de Cómputossuserdd0f8d
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit MetodologiaAndres Soto Suarez
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799mrcosmitos
 

Más contenido relacionado

La actualidad más candente

Póster Cursos Seguridad Privada Nacional
Póster Cursos Seguridad Privada NacionalPóster Cursos Seguridad Privada Nacional
Póster Cursos Seguridad Privada NacionalGonzalo Espinosa
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
La seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioLa seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioJavier Cao Avellaneda
 
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1Jack Daniel Cáceres Meza
 
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Jack Daniel Cáceres Meza
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadHarold Morales
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Expositor Jorge Dominguez-Perú
Expositor Jorge Dominguez-PerúExpositor Jorge Dominguez-Perú
Expositor Jorge Dominguez-Perúsuperbancosec
 
Red segura
Red seguraRed segura
Red segurarosslili
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Ciro Bonilla
 
gestion seguridad informatica
gestion seguridad informatica gestion seguridad informatica
gestion seguridad informaticaG Hoyos A
 
Plan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de CómputoPlan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de Cómputossuserdd0f8d
 

La actualidad más candente (19)

Póster Cursos Seguridad Privada Nacional
Póster Cursos Seguridad Privada NacionalPóster Cursos Seguridad Privada Nacional
Póster Cursos Seguridad Privada Nacional
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
 
Seguridad privada
Seguridad privadaSeguridad privada
Seguridad privada
 
Evaluación de riesgos
Evaluación de riesgosEvaluación de riesgos
Evaluación de riesgos
 
Diplomado de seguridad integral
Diplomado de seguridad integralDiplomado de seguridad integral
Diplomado de seguridad integral
 
Prevencion de perdidas
Prevencion de perdidasPrevencion de perdidas
Prevencion de perdidas
 
La seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocioLa seguridad alineada con necesidades de negocio
La seguridad alineada con necesidades de negocio
 
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
 
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridad
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
 
Expositor Jorge Dominguez-Perú
Expositor Jorge Dominguez-PerúExpositor Jorge Dominguez-Perú
Expositor Jorge Dominguez-Perú
 
Red segura
Red seguraRed segura
Red segura
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
 
Programas de Control de Perdidas
Programas de Control de PerdidasProgramas de Control de Perdidas
Programas de Control de Perdidas
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones Estratégicas
 
gestion seguridad informatica
gestion seguridad informatica gestion seguridad informatica
gestion seguridad informatica
 
Preparación -Seguridad Informática
Preparación -Seguridad Informática Preparación -Seguridad Informática
Preparación -Seguridad Informática
 
Plan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de CómputoPlan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de Cómputo
 

Similar a Analisis gestion de riesgos

Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799mrcosmitos
 
Seguridad Auditoria de Sistemas
Seguridad Auditoria de SistemasSeguridad Auditoria de Sistemas
Seguridad Auditoria de Sistemaspeponlondon
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMICHELCARLOSCUEVASSA
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionygaiboruniandesr
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónElio Laureano
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónManager Asesores
 
Analisis de riesgos 2011
Analisis de riesgos 2011Analisis de riesgos 2011
Analisis de riesgos 2011OSCARCASTROM
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONAny López
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgosUPTM
 
Seguridad de la_informacion
Seguridad de la_informacionSeguridad de la_informacion
Seguridad de la_informacionG Hoyos A
 

Similar a Analisis gestion de riesgos (20)

Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799
 
Seguridad Auditoria de Sistemas
Seguridad Auditoria de SistemasSeguridad Auditoria de Sistemas
Seguridad Auditoria de Sistemas
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
 
Seguridad
SeguridadSeguridad
Seguridad
 
Magerit
MageritMagerit
Magerit
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Seguridad
SeguridadSeguridad
Seguridad
 
Analisis de riesgos 2011
Analisis de riesgos 2011Analisis de riesgos 2011
Analisis de riesgos 2011
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de Riesgos
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgos
 
Gestion de Riesgos
Gestion de RiesgosGestion de Riesgos
Gestion de Riesgos
 
Seguridad de la_informacion
Seguridad de la_informacionSeguridad de la_informacion
Seguridad de la_informacion
 

Último

Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosAlbanyMartinez7
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersIván López Martín
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfFernandoOblitasVivan
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1ivanapaterninar
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxtjcesar1
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificialcynserafini89
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxobandopaula444
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 

Último (20)

Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Documentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos JuridicosDocumentacion Electrónica en Actos Juridicos
Documentacion Electrónica en Actos Juridicos
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
CommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 TestcontainersCommitConf 2024 - Spring Boot <3 Testcontainers
CommitConf 2024 - Spring Boot <3 Testcontainers
 
tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
certificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdfcertificado de oracle academy cetrificado.pdf
certificado de oracle academy cetrificado.pdf
 
Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1Guía de Registro slideshare paso a paso 1
Guía de Registro slideshare paso a paso 1
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptxModelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
Modelo de Presentacion Feria Robotica Educativa 2024 - Versión3.pptx
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
Presentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia ArtificialPresentación sobre la Inteligencia Artificial
Presentación sobre la Inteligencia Artificial
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docxTALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
TALLER DE ANALISIS SOLUCION PART 2 (1)-1.docx
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 

Analisis gestion de riesgos

  • 2. La guerra es un asunto de importancia vital para el Estado; un asunto de vida o muerte, el camino hacia la supervivencia o la destrucción. Por lo tanto, es imperativo estudiarla profundamente.  Hay que valorarla en términos de cinco factores fundamentales, y hacer comparaciones entre diversas condiciones de los bandos antagonistas, de cara a determinar el resultado de la contienda.  El primero de estos factores es la política; el segundo, el clima; el tercero, el terreno; el cuarto, el comandante; y el quinto, la doctrina.  Mediante todo esto, uno puede adivinar el resultado final de la batalla. El arte de la guerra Sun Tzu, 2.000 a.C.
  • 3. ¿Seguro con respecto a qué? ◦ Para el dinero, para sus empleados, para sus clientes.  ¿Ante qué es seguro? ◦ Un robo, un incendio, una crisis económica, etc.  ¿Qué medidas incluye para aumentar la seguridad?  ¿El reducir la cantidad de dinero efectivo, aumenta la seguridad?  ¿Las medidas de seguridad hacen que no exista ningún riesgo para el banco?
  • 4.
  • 5. Pérdida de Perjuicio de la beneficios reputación Pérdida o Deterioro de la compromiso confianza del de la seguridad inversor de los datos Deterioro de la Interrupción de confianza del Consecuencias los procesos cliente legales empresariales
  • 6. Seguridad es la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
  • 7. La norma UNE-ISO/IEC 17799 define la seguridad de la información como la preservación de... ◦ ... su confidencialidad.  Sólo quienes estén autorizados pueden acceder a la información. ◦ ... su integridad.  La información y sus métodos de proceso son exactos y completos. ◦ ... su disponibilidad.  Los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.
  • 8. Protegemos los activos.  Se denominan activos los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección.
  • 9. El activo esencial es la información que maneja el sistema; o sea los datos. Y alrededor de estos datos se pueden identificar otros activos relevantes: ◦ Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos. ◦ Las aplicaciones informáticas (software) que permiten manejar los datos. ◦ Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y servicios. ◦ Los soportes de información que son dispositivos de almacenamiento de datos. ◦ El equipamiento auxiliar que complementa el material informático. ◦ Las redes de comunicaciones que permiten intercambiar datos. ◦ Las instalaciones que acogen equipos informáticos y de comunicaciones. ◦ Las personas que explotan u operan todos los elementos anteriormente citados.
  • 10. Protegemos los activos de las amenazas.  Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño.
  • 11. Las vulnerabilidades son debilidades asociadas a activos de información. En sí mismas no causan daño.  Esas debilidades pueden ser explotadas por amenazas que pueden causar una rotura de seguridad que tenga como consecuencia daño o perdida de esos activos de información
  • 12. Reduciendo su riesgo.  El riesgo es una estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización (impacto).  El riesgo crece con el impacto y con la frecuencia.
  • 13.
  • 14. Implantar controles o salvaguardas con el objetivo de reducir el riesgo.  Las salvaguardas pueden tener vulnerabilidades por lo que es necesario realizar pruebas y seguimiento de las mismas.  La seguridad absoluta no existe ◦ siempre hay que aceptar un riesgo que, eso sí, debe ser conocido y sometido al umbral de calidad que se requiere del servicio.
  • 15.
  • 16.
  • 17. ACTIVO: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección.  Vulnerabilidades: debilidades asociadas a activos de información  AMENAZA: Evento que puede desencadenar un incidente en la organización, produciendo daños o pérdidas en sus activos.  RIESGO: Posibilidad de que una amenaza se materialice.  IMPACTO: Consecuencia sobre un activo de la materialización de una amenaza.  CONTROL: Práctica, procedimiento o mecanismo que reduce el nivel de riesgo.
  • 18.
  • 19. Es de sentido común que no se puede invertir en salvaguardas más allá del valor de los propios activos a proteger.
  • 20. Evaluación ◦ Evaluar y valorar los activos ◦ Identificar los riesgos de la seguridad ◦ Analizar y asignar prioridad a los riesgos de la seguridad  Desarrollo e implementación ◦ Desarrollar métodos correctivos de seguridad ◦ Probar los métodos correctivos de seguridad ◦ Obtener información de seguridad  Funcionamiento ◦ Volver a valorar los activos nuevos y los que han sufrido cambios, así como los riesgos de seguridad ◦ Estabilizar e implementar medidas preventivas nuevas o que han cambiado
  • 21. 1 2 Identificación Análisis 5 3 Declaración de Control Plan riesgos 4 Seguimiento
  • 22. Análisis de riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización.  Gestión de riesgos: selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Análisis de riesgos + Tratamientos de riesgos = Gestión de riesgos
  • 23.
  • 24.
  • 25.
  • 26. Paso 1. Identificar los activos.  Paso 2. Valorar los activos.  Paso 3. Identificar las amenazas.  Paso 4. Determinar el impacto de una amenaza.  Paso 5. Determinación del riesgo.  Paso 6. Establecer salvaguardas.  Paso 7. Revisión del paso 4, determinar el impacto residual.  Paso 8. Revisión del paso 5, determinar el riesgo residual.
  • 27. ¿Por qué interesa un activo? Por lo que vale. ◦ Si algo no vale para nada, prescíndase de ello. Si no se puede prescindir impunemente de un activo, es que algo vale; eso es lo que hay que averiguar pues eso es lo que hay que proteger.  El valor de un activo puede ser propio o acumulado. ◦ Si un activo A depende de otro activo B, el valor de B se incrementa.
  • 28. La valoración es la determinación del coste que supondría salir de una incidencia que degradara el activo.  Hay muchos factores a considerar: ◦ coste de reposición: adquisición e instalación ◦ coste de mano de obra (especializada) invertida en recuperar (el valor) del activo ◦ lucro cesante: pérdida de ingresos ◦ capacidad de operar: confianza de los usuarios y proveedores que se traduce en una pérdida de actividad o en peores condiciones económicas ◦ sanciones por incumplimiento de la ley u obligaciones contractuales ◦ daño a otros activos, propios o ajenos ◦ daño a personas ◦ daños medioambientales.
  • 29.
  • 30. La valoración puede ser cuantitativa (con una cantidad numérica) o cualitativa (en alguna escala de niveles). Los criterios más importantes a respetar son: ◦ la homogeneidad: es importante poder comparar valores aunque sean de diferentes dimensiones a fin de poder combinar valores propios y valores acumulados, así como poder determinar si es más grave el daño en una dimensión o en otra ◦ la relatividad: es importante poder relativizar el valor de un activo en comparación con otros activos
  • 31. D disponibilidad ◦ ¿Qué importancia tendría que el activo no estuviera disponible?  I integridad ◦ ¿Qué importancia tendría que el activo fuera modificado fuera de control?  C confidencialidad ◦ ¿Qué importancia tendría que el activo fuera conocido por personas no autorizadas?  A autenticidad ◦ ¿Qué importancia tendría que quien accede al activo no sea realmente quien se cree?  T trazabilidad (accountability) ◦ ¿Qué importancia tendría que no quedara constancia del uso del activo?
  • 32. 1. El servidor proporciona una funcionalidad básica pero no tiene un impacto financiero en el negocio. 3. El servidor contiene información importante, pero los datos se pueden recuperar rápida y fácilmente. 5. El servidor contiene datos importantes que llevaría algún tiempo recuperar. 8. El servidor contiene información importante para los objetivos empresariales de la compañía. La pérdida de este equipamiento tendría un efecto considerable en la productividad de todos los usuarios. 10.El servidor tiene un efecto considerable en el negocio de la compañía. La pérdida de este equipamiento resultaría en una desventaja con respecto a la competencia.
  • 33. Tipos de amenazas Ejemplos Falsificar mensajes de correo electrónico Suplantación Reproducir paquetes de autenticación Alterar datos durante la transmisión Alteración Cambiar datos en archivos Eliminar un archivo esencial y denegar este hecho Repudio Adquirir un producto y negar posteriormente que se ha adquirido Exponer la información en mensajes de error Divulgación de información Exponer el código de los sitios Web Inundar una red con paquetes de sincronización Denegación de servicio Inundar una red con paquetes ICMP falsificados Explotar la saturación de un búfer para obtener privilegios Elevación de en el sistema privilegios Obtener privilegios de administrador de forma ilegítima
  • 34. Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuantía.  Una vez determinado que una amenaza puede perjudicar a un activo, hay que estimar cuán vulnerable es el activo, en dos sentidos: ◦ degradación: cuán perjudicado resultaría el activo ◦ frecuencia: cada cuánto se materializa la amenaza
  • 35. Se denomina impacto a la medida del daño sobre el activo derivado de la materialización de una amenaza.
  • 36. DREAD ◦ Daño ◦ Capacidad de reproducción ◦ Capacidad de explotación ◦ Usuarios afectados ◦ Capacidad de descubrimiento
  • 37. Las salvaguardas entran en el cálculo del riesgo de dos formas: ◦ Reduciendo la frecuencia de las amenazas. Se llaman salvaguardas preventivas. Las ideales llegan a impedir completamente que la amenaza se materialice. ◦ Limitando el daño causado. Hay salvaguardas que directamente limitan la posible degradación, mientras que otras permiten detectar inmediatamente el ataque para frenar que la degradación avance. Incluso algunas salvaguardas se limitan a permitir la pronta recuperación del sistema cuando la amenaza lo destruye. En cualquiera de las versiones, la amenaza se materializa; pero las consecuencias se limitan.
  • 38. Las salvaguardas se caracterizan, además de por su existencia, por su eficacia frente al riesgo que pretenden conjurar.  La salvaguarda ideal es 100% eficaz, lo que implica que:  es teóricamente idónea  está perfectamente desplegada, configurada y mantenida  se emplea siempre  existen procedimientos claros de uso normal y en caso de incidencias los usuarios están formados y concienciados  existen controles que avisan de posibles fallos  Entre una eficacia del 0% para aquellas que están de adorno y el 100% para aquellas que son perfectas, se estimará un grado de eficacia real en cada caso concreto.
  • 39. Algunas salvaguardas, notablemente las de tipo técnico, se traducen en el despliegue de más Equipamiento que se convierte a su vez en un activo del sistema. ◦ Estos activos soportan parte del valor del sistema y están a su vez sujetos a amenazas que pueden perjudicar a los activos de valor.  Hay que repetir el análisis de riesgos, ampliándolo con el nuevo despliegue de medios y, por supuesto, cerciorarse de que el riesgo del sistema ampliado es menor que el del sistema original; es decir, que las salvaguardas efectivamente disminuyen el estado de riesgo de la Organización.
  • 40. Si se puede, se evita  Si no, hay que plantear una estrategia ◦ hay que tener medidas preventivas ◦ hay que tener un plan de emergencia ◦ hay que tener un plan de recuperación
  • 41.
  • 42. Controles disuasorios: reducen la posibilidad de incidente (cámaras de vigilancia).  Controles preventivos: reduce la vulnerabilidad (ej. Parches en los Sistemas operativos)  Controles detectores: detectan incidente en curso (sensores IDS en las redes).  Controles correctivos: posterior al incidente (copias de seguridad).
  • 43.
  • 44.
  • 45.
  • 46. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.  Promovido por CSAE: Consejo Superior de Administración Electrónica.
  • 47. Directos: ◦ concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo ◦ ofrecer un método sistemático para analizar tales riesgos ◦ ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control.  Indirectos: ◦ preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso
  • 48.
  • 49.
  • 50.
  • 51.
  • 52. The Security Risk Management Guide. ◦ Microsoft.  MAGERIT – versión 2 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. ◦ Ministerio español de Administraciones Públicas  Fundamentos de seguridad – Microsoft Technet.