SlideShare ist ein Scribd-Unternehmen logo

Pasos para el análisis de riesgos basados en MAGERIT

Als PPTX, PDF herunterladen
Jaime Barrios Cantillo
Jaime Barrios Cantillo

El presente documento tiene como finalidad describir los pasos necesarios para el analisis de riesgos basado en metodologia MAGERIT.

Technologie
1 von 9
Pasos para el análisis de riesgos basados en la metodología MAGERIT
Concepto paso a paso Metodología MAGERIT  El análisis de riesgos es una tarea que sirve para determinar el riesgo a través de unos pasos secuenciales:  1. identificar los activos importantes para la compañía, su interrelación y su valor, en el sentido en que afectaría su degradación.  2. determinar a qué amenazas están expuestos aquellos activos  3. establecer qué medidas preventivas hay dispuestas y que tan eficaces son respecto al riesgo  4. medir el impacto, definido como la afectación causada sobre el activo generado por la materialización de la amenaza  5. medir el riesgo, reconocido como el impacto ponderado con la probabilidad de materialización de la amenaza
Flujo descriptivo de pasos ACTIVOSAMENAZAS VALOR DEGRADACION PROBABILIDAD IMPACTO RIESGO Están expuestos a Causan cierta Con alguna Interesan por su
Activos: Se deben identificar y clasificar los activos de información mas importantes para la organización como son: • Datos : que materializan la información. • Servicios: auxiliares que se necesitan para poder organizar el sistema. • Las aplicaciones informáticas: (software) que permiten manejar los datos. • Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y servicios. • Los soportes de información: que son dispositivos de almacenamiento de datos. • El equipamiento auxiliar: que complementa el material informático. • Las redes de comunicaciones: que permiten intercambiar datos. • Las instalaciones: que acogen equipos informáticos y de comunicaciones. • Las personas: que explotan u operan todos los elementos anteriormente citados. Para estos activos se debe tener en cuenta la dependencia de ellos, valor cualitativo y cuantitativo, dimensiones y valor de interrupción.
 Amenazas El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo. Las son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño.  De origen natural: terremotos, avalanchas, lluvias e inundaciones.  De origen industrial: incendios, fallos eléctricos, contaminación ambiental.  Defectos de las aplicaciones: vulnerabilidades en los equipamientos o aplicativos.  Causadas por las personas de forma accidental: típicamente por error u omisión.  Causadas por las personas de forma deliberada: ataques internos, robos o beneficio propio. Para las mencionadas anteriormente se debe tener presente el valor de la amenaza, la degradación y probabilidad de que se materialice.
Determinación del impacto potencial Se denomina impacto a la medida del daño sobre el activo derivado de la materialización de una amenaza. Conociendo el valor de los activos (en varias dimensiones) y la degradación que causan las amenazas, es directo derivar el impacto que estas tendrían sobre el sistema. Podemos mencionar siguientes impactos. 1. Impacto acumulado: Es el calculado sobre un activo teniendo en cuenta:  su valor acumulado (el propio mas el acumulado de los activos que dependen de él)  las amenazas a que está expuesto. 2. Impacto repercutido: Es el calculado sobre un activo teniendo en cuenta:  su valor propio  las amenazas a que están expuestos los activos de los que depende
Determinación del riesgo potencial Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo sin más que tener en cuenta la probabilidad ocurrencia. El riesgo crece con el impacto y con la probabilidad, pudiendo distinguirse una serie de zonas a en cuenta en el tratamiento del riesgo (que veremos más adelante):  zona 1 – riesgos muy probables y de muy alto impacto  zona 2 – franja amarilla: cubre un amplio rango desde situaciones improbables y de impacto hasta situaciones muy probables pero de impacto bajo o muy bajo  zona 3 – riesgos improbables y de bajo impacto  zona 4 – riesgos improbables pero de muy alto impacto
Determinación del riesgo potencial
Salvaguardas Son aquellas medidas preventivas o de control que permiten proteger el activo cuando la amenaza materializa mitigando el riesgo.

Empfohlen

Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit MetodologiaAndres Soto Suarez
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgoindeson12
 
SOC Cyber Security
SOC Cyber SecuritySOC Cyber Security
SOC Cyber SecuritySteppa Cyber Security
 
Introduction to Open FAIR
Introduction to Open FAIRIntroduction to Open FAIR
Introduction to Open FAIR"Apolonio \"Apps\"" Garcia
 
Análisis de riesgos
Análisis de riesgosAnálisis de riesgos
Análisis de riesgosAlexander Velasque Rimac
 
NIST 800 30 revision Sep 2012
NIST 800 30 revision Sep 2012NIST 800 30 revision Sep 2012
NIST 800 30 revision Sep 2012S Periyakaruppan CISM,ISO31000,C-EH,ITILF
 
Magerit
MageritMagerit
MageritKrolina Agui
 

Empfohlen

Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit MetodologiaAndres Soto Suarez
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgoindeson12
 
SOC Cyber Security
SOC Cyber SecuritySOC Cyber Security
SOC Cyber SecuritySteppa Cyber Security
 
Introduction to Open FAIR
Introduction to Open FAIRIntroduction to Open FAIR
Introduction to Open FAIR"Apolonio \"Apps\"" Garcia
 
Análisis de riesgos
Análisis de riesgosAnálisis de riesgos
Análisis de riesgosAlexander Velasque Rimac
 
NIST 800 30 revision Sep 2012
NIST 800 30 revision Sep 2012NIST 800 30 revision Sep 2012
NIST 800 30 revision Sep 2012S Periyakaruppan CISM,ISO31000,C-EH,ITILF
 
Magerit
MageritMagerit
MageritKrolina Agui
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octaveAndres Soto Suarez
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Building a Security Operations Center (SOC).pdf
Building a Security Operations Center (SOC).pdfBuilding a Security Operations Center (SOC).pdf
Building a Security Operations Center (SOC).pdfTapOffice
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informáticaAcosta Escalante Jesus Jose
 
Evento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la InformaciónEvento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la InformaciónJ. Gustavo López
 
Analisis de riesgo informatico
Analisis de riesgo informaticoAnalisis de riesgo informatico
Analisis de riesgo informaticoJordy Luna Palacios
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informaticaAdan Ernesto Guerrero Mocadan
 
Gestión de riesgos
Gestión de riesgos Gestión de riesgos
Gestión de riesgos Alpha Consultoria
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaIESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSseguridadelinux
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informaticaCarlos Ledesma
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICAcontiforense
 
Riesgos informaticos en una empresa
Riesgos informaticos en una empresaRiesgos informaticos en una empresa
Riesgos informaticos en una empresamariabustosrojas
 
Introduction to FAIR - Factor Analysis of Information Risk
Introduction to FAIR - Factor Analysis of Information RiskIntroduction to FAIR - Factor Analysis of Information Risk
Introduction to FAIR - Factor Analysis of Information RiskOsama Salah
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Carlos Luque, CISA
 
Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Donald E. Hester
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
IBM Security QRadar
IBM Security QRadar IBM Security QRadar
IBM Security QRadarVirginia Fernandez
 
Cuadro comparativo prof jair
Cuadro comparativo prof jairCuadro comparativo prof jair
Cuadro comparativo prof jairitzel yanine rodriguez pedroza
 
Introducción CMMI
Introducción CMMIIntroducción CMMI
Introducción CMMICarlos Alberto Valencia Garcia
 

Weitere ähnliche Inhalte

Was ist angesagt?

La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Building a Security Operations Center (SOC).pdf
Building a Security Operations Center (SOC).pdfBuilding a Security Operations Center (SOC).pdf
Building a Security Operations Center (SOC).pdfTapOffice
 
Evento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la InformaciónEvento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la InformaciónJ. Gustavo López
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSseguridadelinux
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informaticaCarlos Ledesma
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICAcontiforense
 
Riesgos informaticos en una empresa
Riesgos informaticos en una empresaRiesgos informaticos en una empresa
Riesgos informaticos en una empresamariabustosrojas
 
Introduction to FAIR - Factor Analysis of Information Risk
Introduction to FAIR - Factor Analysis of Information RiskIntroduction to FAIR - Factor Analysis of Information Risk
Introduction to FAIR - Factor Analysis of Information RiskOsama Salah
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Carlos Luque, CISA
 
Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Donald E. Hester
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 

Was ist angesagt? (20)

Exposicion octave
Exposicion octaveExposicion octave
Exposicion octave
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
 
Building a Security Operations Center (SOC).pdf
Building a Security Operations Center (SOC).pdfBuilding a Security Operations Center (SOC).pdf
Building a Security Operations Center (SOC).pdf
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
 
Evento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la InformaciónEvento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la Información
 
Analisis de riesgo informatico
Analisis de riesgo informaticoAnalisis de riesgo informatico
Analisis de riesgo informatico
 
Auditoria de seguridad informatica
Auditoria de seguridad informaticaAuditoria de seguridad informatica
Auditoria de seguridad informatica
 
Gestión de riesgos
Gestión de riesgos Gestión de riesgos
Gestión de riesgos
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUS
 
Principales areas de la auditoria informatica
Principales areas de la auditoria informaticaPrincipales areas de la auditoria informatica
Principales areas de la auditoria informatica
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
 
Riesgos informaticos en una empresa
Riesgos informaticos en una empresaRiesgos informaticos en una empresa
Riesgos informaticos en una empresa
 
Introduction to FAIR - Factor Analysis of Information Risk
Introduction to FAIR - Factor Analysis of Information RiskIntroduction to FAIR - Factor Analysis of Information Risk
Introduction to FAIR - Factor Analysis of Information Risk
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
 
Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
 
IBM Security QRadar
IBM Security QRadar IBM Security QRadar
IBM Security QRadar
 

Andere mochten auch

Magerit v3 libro1_metodo
Magerit v3 libro1_metodoMagerit v3 libro1_metodo
Magerit v3 libro1_metodokinny32
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgosRosaly Mendoza
 
Análisis de riesgos Edgar García
Análisis de riesgos Edgar GarcíaAnálisis de riesgos Edgar García
Análisis de riesgos Edgar GarcíaCarlos
 
Barrantes sistemas de gestion informatica
Barrantes sistemas de gestion informaticaBarrantes sistemas de gestion informatica
Barrantes sistemas de gestion informaticayustinos
 
MIR con análisis de riesgos, Eduardo Romero
MIR con análisis de riesgos, Eduardo RomeroMIR con análisis de riesgos, Eduardo Romero
MIR con análisis de riesgos, Eduardo RomeroOECD Governance
 
Analisis de riesgos
Analisis de riesgosAnalisis de riesgos
Analisis de riesgosnicoldes
 
Análisis riesgos alimentaria fao
Análisis riesgos alimentaria faoAnálisis riesgos alimentaria fao
Análisis riesgos alimentaria faobatanero71
 
IDENTIFICACION DE PELIGROS Y EVALUACION DE RIESGOS
IDENTIFICACION DE PELIGROS Y EVALUACION DE RIESGOS IDENTIFICACION DE PELIGROS Y EVALUACION DE RIESGOS
IDENTIFICACION DE PELIGROS Y EVALUACION DE RIESGOS Jeimy Arteaga
 
Análisis de Riesgos y Espacio de Diseño
Análisis de Riesgos y Espacio de DiseñoAnálisis de Riesgos y Espacio de Diseño
Análisis de Riesgos y Espacio de DiseñoFernando Tazón Alvarez
 
gestion riesgo_iso_31000
gestion riesgo_iso_31000gestion riesgo_iso_31000
gestion riesgo_iso_31000Ecuador
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informáticaPaperComp
 
Nuevos Cambios a las Normas ISO 9001
Nuevos Cambios a las Normas ISO 9001Nuevos Cambios a las Normas ISO 9001
Nuevos Cambios a las Normas ISO 9001Elizabeth Ontaneda
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 

Andere mochten auch (20)

Cuadro comparativo prof jair
Cuadro comparativo prof jairCuadro comparativo prof jair
Cuadro comparativo prof jair
 
Introducción CMMI
Introducción CMMIIntroducción CMMI
Introducción CMMI
 
Magerit v3 libro1_metodo
Magerit v3 libro1_metodoMagerit v3 libro1_metodo
Magerit v3 libro1_metodo
 
Análisis de Riesgos 1ªParte
Análisis de Riesgos 1ªParteAnálisis de Riesgos 1ªParte
Análisis de Riesgos 1ªParte
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgos
 
Análisis de riesgos Edgar García
Análisis de riesgos Edgar GarcíaAnálisis de riesgos Edgar García
Análisis de riesgos Edgar García
 
Barrantes sistemas de gestion informatica
Barrantes sistemas de gestion informaticaBarrantes sistemas de gestion informatica
Barrantes sistemas de gestion informatica
 
MIR con análisis de riesgos, Eduardo Romero
MIR con análisis de riesgos, Eduardo RomeroMIR con análisis de riesgos, Eduardo Romero
MIR con análisis de riesgos, Eduardo Romero
 
Analisis de riesgos
Analisis de riesgosAnalisis de riesgos
Analisis de riesgos
 
Análisis riesgos alimentaria fao
Análisis riesgos alimentaria faoAnálisis riesgos alimentaria fao
Análisis riesgos alimentaria fao
 
IDENTIFICACION DE PELIGROS Y EVALUACION DE RIESGOS
IDENTIFICACION DE PELIGROS Y EVALUACION DE RIESGOS IDENTIFICACION DE PELIGROS Y EVALUACION DE RIESGOS
IDENTIFICACION DE PELIGROS Y EVALUACION DE RIESGOS
 
Análisis de Riesgos y Espacio de Diseño
Análisis de Riesgos y Espacio de DiseñoAnálisis de Riesgos y Espacio de Diseño
Análisis de Riesgos y Espacio de Diseño
 
gestion riesgo_iso_31000
gestion riesgo_iso_31000gestion riesgo_iso_31000
gestion riesgo_iso_31000
 
Analisis De Riesgos
Analisis De RiesgosAnalisis De Riesgos
Analisis De Riesgos
 
Manual de políticas de seguridad informática
Manual de políticas de seguridad informáticaManual de políticas de seguridad informática
Manual de políticas de seguridad informática
 
Analisis de riesgos
Analisis de riesgosAnalisis de riesgos
Analisis de riesgos
 
Frame relay
Frame relayFrame relay
Frame relay
 
Curso ISO 9001: 2015 Gestión del riesgo
Curso ISO 9001: 2015 Gestión del riesgoCurso ISO 9001: 2015 Gestión del riesgo
Curso ISO 9001: 2015 Gestión del riesgo
 
Nuevos Cambios a las Normas ISO 9001
Nuevos Cambios a las Normas ISO 9001Nuevos Cambios a las Normas ISO 9001
Nuevos Cambios a las Normas ISO 9001
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de Riesgos
 

Ähnlich wie Pasos para el análisis de riesgos basados en MAGERIT

Cesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar Velez
 
Sistemas de seguridad capitulo 2
Sistemas de seguridad capitulo 2Sistemas de seguridad capitulo 2
Sistemas de seguridad capitulo 2RUBENP0RTILL0
 
01 articulo mañana
01 articulo mañana01 articulo mañana
01 articulo mañanaoscareo79
 
01 articulo mañana
01 articulo mañana01 articulo mañana
01 articulo mañanaoscareo79
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMICHELCARLOSCUEVASSA
 
Analisis de riesgos 2011
Analisis de riesgos 2011Analisis de riesgos 2011
Analisis de riesgos 2011OSCARCASTROM
 
seguridadinformatica
seguridadinformaticaseguridadinformatica
seguridadinformaticaUniciencia
 
seguridadinformatica
seguridadinformaticaseguridadinformatica
seguridadinformaticaToña Alvarez
 
107400498+11-12+procedimiento+para+la+identificación+de+peligro+y+evaluación+...
107400498+11-12+procedimiento+para+la+identificación+de+peligro+y+evaluación+...107400498+11-12+procedimiento+para+la+identificación+de+peligro+y+evaluación+...
107400498+11-12+procedimiento+para+la+identificación+de+peligro+y+evaluación+...ssuser5d790c
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática1 G Bachuaa
 
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...Unidad de Emprendimiento ambulante
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgosUPTM
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONAny López
 
Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...
Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...
Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...aghconsultoria
 
Tema2 instalacionesestrategicas
Tema2 instalacionesestrategicasTema2 instalacionesestrategicas
Tema2 instalacionesestrategicasaghconsultoria
 

Ähnlich wie Pasos para el análisis de riesgos basados en MAGERIT (20)

Cesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos magerit
 
Sistemas de seguridad capitulo 2
Sistemas de seguridad capitulo 2Sistemas de seguridad capitulo 2
Sistemas de seguridad capitulo 2
 
01 articulo mañana
01 articulo mañana01 articulo mañana
01 articulo mañana
 
01 articulo mañana
01 articulo mañana01 articulo mañana
01 articulo mañana
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
 
Analisis de riesgos 2011
Analisis de riesgos 2011Analisis de riesgos 2011
Analisis de riesgos 2011
 
seguridadinformatica
seguridadinformaticaseguridadinformatica
seguridadinformatica
 
seguridadinformatica
seguridadinformaticaseguridadinformatica
seguridadinformatica
 
01 evaluacion prl
01 evaluacion prl01 evaluacion prl
01 evaluacion prl
 
107400498+11-12+procedimiento+para+la+identificación+de+peligro+y+evaluación+...
107400498+11-12+procedimiento+para+la+identificación+de+peligro+y+evaluación+...107400498+11-12+procedimiento+para+la+identificación+de+peligro+y+evaluación+...
107400498+11-12+procedimiento+para+la+identificación+de+peligro+y+evaluación+...
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgos
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
Formato-Referencial_Metodología-de-Evaluación-y-Tratamiento-de-Riesgos-EGSI-V...
 
Metodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, MageritMetodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, Magerit
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgos
 
Riesgos informáticos
Riesgos informáticosRiesgos informáticos
Riesgos informáticos
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgos
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
 
Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...
Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...
Tema 2 ANALISIS DE RIESGOS. RIESGOS EN INSTALACIONES ESTRATEGICAS. RIESGOS NA...
 
Tema2 instalacionesestrategicas
Tema2 instalacionesestrategicasTema2 instalacionesestrategicas
Tema2 instalacionesestrategicas
 

Kürzlich hochgeladen

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativanicho110
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxJorgeParada26
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIhmpuellon
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxFederico Castellari
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 

Kürzlich hochgeladen (12)

redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 

Pasos para el análisis de riesgos basados en MAGERIT

  • 1. Pasos para el análisis de riesgos basados en la metodología MAGERIT
  • 2. Concepto paso a paso Metodología MAGERIT  El análisis de riesgos es una tarea que sirve para determinar el riesgo a través de unos pasos secuenciales:  1. identificar los activos importantes para la compañía, su interrelación y su valor, en el sentido en que afectaría su degradación.  2. determinar a qué amenazas están expuestos aquellos activos  3. establecer qué medidas preventivas hay dispuestas y que tan eficaces son respecto al riesgo  4. medir el impacto, definido como la afectación causada sobre el activo generado por la materialización de la amenaza  5. medir el riesgo, reconocido como el impacto ponderado con la probabilidad de materialización de la amenaza
  • 3. Flujo descriptivo de pasos ACTIVOSAMENAZAS VALOR DEGRADACION PROBABILIDAD IMPACTO RIESGO Están expuestos a Causan cierta Con alguna Interesan por su
  • 4. Activos: Se deben identificar y clasificar los activos de información mas importantes para la organización como son: • Datos : que materializan la información. • Servicios: auxiliares que se necesitan para poder organizar el sistema. • Las aplicaciones informáticas: (software) que permiten manejar los datos. • Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y servicios. • Los soportes de información: que son dispositivos de almacenamiento de datos. • El equipamiento auxiliar: que complementa el material informático. • Las redes de comunicaciones: que permiten intercambiar datos. • Las instalaciones: que acogen equipos informáticos y de comunicaciones. • Las personas: que explotan u operan todos los elementos anteriormente citados. Para estos activos se debe tener en cuenta la dependencia de ellos, valor cualitativo y cuantitativo, dimensiones y valor de interrupción.
  • 5.  Amenazas El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo. Las son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño.  De origen natural: terremotos, avalanchas, lluvias e inundaciones.  De origen industrial: incendios, fallos eléctricos, contaminación ambiental.  Defectos de las aplicaciones: vulnerabilidades en los equipamientos o aplicativos.  Causadas por las personas de forma accidental: típicamente por error u omisión.  Causadas por las personas de forma deliberada: ataques internos, robos o beneficio propio. Para las mencionadas anteriormente se debe tener presente el valor de la amenaza, la degradación y probabilidad de que se materialice.
  • 6. Determinación del impacto potencial Se denomina impacto a la medida del daño sobre el activo derivado de la materialización de una amenaza. Conociendo el valor de los activos (en varias dimensiones) y la degradación que causan las amenazas, es directo derivar el impacto que estas tendrían sobre el sistema. Podemos mencionar siguientes impactos. 1. Impacto acumulado: Es el calculado sobre un activo teniendo en cuenta:  su valor acumulado (el propio mas el acumulado de los activos que dependen de él)  las amenazas a que está expuesto. 2. Impacto repercutido: Es el calculado sobre un activo teniendo en cuenta:  su valor propio  las amenazas a que están expuestos los activos de los que depende
  • 7. Determinación del riesgo potencial Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo sin más que tener en cuenta la probabilidad ocurrencia. El riesgo crece con el impacto y con la probabilidad, pudiendo distinguirse una serie de zonas a en cuenta en el tratamiento del riesgo (que veremos más adelante):  zona 1 – riesgos muy probables y de muy alto impacto  zona 2 – franja amarilla: cubre un amplio rango desde situaciones improbables y de impacto hasta situaciones muy probables pero de impacto bajo o muy bajo  zona 3 – riesgos improbables y de bajo impacto  zona 4 – riesgos improbables pero de muy alto impacto
  • 9. Salvaguardas Son aquellas medidas preventivas o de control que permiten proteger el activo cuando la amenaza materializa mitigando el riesgo.