Luis Carlos Arbesú
Consultor de Preventa Especialista en Seguridad
Agenda
• Introducción
• Riesgo
• Análisis de Riesgos
• Metodologías para el Análisis y Gestión de
Riesgos
• Metodología NI...
EL PROBLEMA:
• Darse cuenta que pasa, hasta que pasa.
• Cuantificarlos económicamente, por
ejemplo: ¿cuánto le cuesta a la...
Es el potencial que dada una amenaza, esta
explote una vulnerabilidad de un activo o de un
grupo de activos y de esta form...
Es el estudio de las causas de las posibles
amenazas y probables eventos no deseados y
los daños y consecuencias que éstas...
Metodologías para el
Análisis y Gestión de Riesgos
Citicus One
CRAMM: “CCTA Risk
Assessment and
Management
Methodology”
IS...
Metodologías para el
Análisis y gestión de Riesgos
Estas metodologías de análisis y gestión del riesgo hacen parte del cic...
El National Institute of Standards and Technology (NIST),
fundado en 1901, es un organismo federal no regulador
que forma ...
NIST 800-30
Caracterización del sistema
ENTRADAS
• Activos de la
organización
• Hardware
• Software
• Interfaces del sistema
• Informa...
Identificación de Amenazas
• Potencial de que una fuente de amenazas se
aproveche o explote una vulnerabilidad
especifica ...
Identificación de Amenazas
Hacker,
Cracker
Criminales Terroristas
Espionage
Industrial o
Intereses
Extrangeros
Interno
(Em...
Identificación de Vulnerabilidades
Evaluaciones previas de riesgos
Reportes de auditoria, reportes de revisión de la segur...
Análisis de Controles
Los controles pueden ser extrapolados de:
- Políticas y guías de seguridad
- Procedimientos de opera...
Análisis de Controles
Controles Operacionales (personal, seguridad física, etc.)
- Preventivos
Entrenamiento y conciencia ...
Probabilidad de Ocurrencia
• La fuente esta altamente motivada y es lo
suficientemente capaz y los controles no son
efecti...
Análisis de Impactos
• La integridad se pierde si cambios no autorizados son realizados al
sistema o a los datos accidenta...
Análisis de Impactos
Determinación del Riesgo
Riesgo = Probabilidad X Impacto
Probabilidad: Probabilidad de ocurrencia de
un incidente o fallo ...
Determinación del Riesgo
Matriz de Riesgos
- Implementación de controles
- Documentación de amenazas,
vulnerabilidades, riesgos
Manejo de Riesgos
• Eliminar la amenaza quitando la falla o vulnerabilidad
Eliminarlo
• Implementar controles que restring...
Diseno
sistema
Activo
Falla o
debilidad?
Explotable?
Existe
vulnerabilidad?
&
No hay
riesgo
No hay
riesgo
Existe
amenaza
M...
Es el riesgo latente
luego de aplicar los
controles apropiados
Riesgo Residual
Memorias webCast Introduccion al analisis y gestión de riesgos
Próxima SlideShare
Cargando en…5
×

Memorias webCast Introduccion al analisis y gestión de riesgos

1.293 visualizaciones

Publicado el

Conozca la metodología para que las organizaciones definan una estrategia de gestión del riesgo, basados en los resultados de las mediciones de su impacto y de su probabilidad de ocurrencia.

0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
1.293
En SlideShare
0
De insertados
0
Número de insertados
17
Acciones
Compartido
0
Descargas
43
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Memorias webCast Introduccion al analisis y gestión de riesgos

  1. 1. Luis Carlos Arbesú Consultor de Preventa Especialista en Seguridad
  2. 2. Agenda • Introducción • Riesgo • Análisis de Riesgos • Metodologías para el Análisis y Gestión de Riesgos • Metodología NIST 800-30 • Manejo de Riesgos • Resumen • Riesgo Residual
  3. 3. EL PROBLEMA: • Darse cuenta que pasa, hasta que pasa. • Cuantificarlos económicamente, por ejemplo: ¿cuánto le cuesta a la compañía su base de datos? • Vincular directamente sus efectos sobre los resultados de la compañía LA SOLUCIÓN: • No es invertir gran cantidad de dinero. • Buenas prácticas administración y control. • Medición – auditoria – informática Introducción
  4. 4. Es el potencial que dada una amenaza, esta explote una vulnerabilidad de un activo o de un grupo de activos y de esta forma cause daño en la organización Riesgo
  5. 5. Es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir. Análisis de Riesgos
  6. 6. Metodologías para el Análisis y Gestión de Riesgos Citicus One CRAMM: “CCTA Risk Assessment and Management Methodology” ISO/IEC 27005 MAGERIT OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) NIST SP 800-39 NIST SP 800-26/30 Mehari AS/NZS
  7. 7. Metodologías para el Análisis y gestión de Riesgos Estas metodologías de análisis y gestión del riesgo hacen parte del ciclo de mejor continua PHVA dentro del SGSI
  8. 8. El National Institute of Standards and Technology (NIST), fundado en 1901, es un organismo federal no regulador que forma parte de la Administración de Tecnología (Technology Administration) del Departamento de Comercio (Department of Commerce) de los EE.UU. La misión del NIST consiste en elaborar y promover patrones de medición, normas y tecnología con el fin de incrementar la productividad, facilitar el comercio y mejorar la calidad de vida. NIST 800-30 Guía de Gestión de Riesgos de los Sistemas de Tecnología de la Información NIST 800
  9. 9. NIST 800-30
  10. 10. Caracterización del sistema ENTRADAS • Activos de la organización • Hardware • Software • Interfaces del sistema • Información • Personas • Misión del sistema SALIDAS • Caracterización de los sistemas de IT evaluados • Definir el alcance del análisis de riesgos Toda esta información se puede obtener a partir de cuestionarios, reuniones en sitio, herramientas automáticas de escaneo, etc.
  11. 11. Identificación de Amenazas • Potencial de que una fuente de amenazas se aproveche o explote una vulnerabilidad especifica accidental o intencionalmenteAmenaza • Intención o método que puede explotar una vulnerabilidad. Estas pueden ser naturales, humanas, del ambiente, etc. Fuente de Amenazas • Falla o debilidad en los sistemas de seguridad de un sistema, diseño, implementación, control interno, etc., que puede ser aprovechada y resultar en una violación de la política de seguridad del sistema Vulnerabilidad
  12. 12. Identificación de Amenazas Hacker, Cracker Criminales Terroristas Espionage Industrial o Intereses Extrangeros Interno (Empleados enojados, descuidados) Desastres Naturales
  13. 13. Identificación de Vulnerabilidades Evaluaciones previas de riesgos Reportes de auditoria, reportes de revisión de la seguridad y reportes de evaluación y pruebas de sistemas Listas de vulnerabilidades (NIST I-CAT) Advertencias de seguridad (Federal Computer Incident Response Capability FedCIRC) Advertencias de vendedores Análisis de Vulnerabilidades y Pentesting Reportes de anomalias del sistema
  14. 14. Análisis de Controles Los controles pueden ser extrapolados de: - Políticas y guías de seguridad - Procedimientos de operación de los sistemas - Especificaciones de seguridad del sistema - Estándares y buenas practicas Controles Técnicos - Preventivos - Control de acceso - Antivirus - Mecanismos de identificación y autenticación - Firewalls - Encripción - Detectivos - Logs - IDS
  15. 15. Análisis de Controles Controles Operacionales (personal, seguridad física, etc.) - Preventivos Entrenamiento y conciencia de la seguridad Planes de contingencia, recuperación y emergencias - Detectivos Revisiones de seguridad y auditorias Investigaciones Controles administrativos - Revisiones de auditorias - Evaluaciones de riesgos - Reglas de comportamiento
  16. 16. Probabilidad de Ocurrencia • La fuente esta altamente motivada y es lo suficientemente capaz y los controles no son efectivosAlta • La fuente esta altamente motivada y es lo suficientemente capaz y los controles son efectivos.Media • La fuente no tiene motivación o capacidad o existen controles para prevenir, impedir significativamenteBaja
  17. 17. Análisis de Impactos • La integridad se pierde si cambios no autorizados son realizados al sistema o a los datos accidental o intencionalmente. Puede causar impacto similar a la perdida de disponibilidad. Puede ser el primer paso hacia una perdida de disponibilidad o confidencialidad Integridad • SI el sistema esta parcial o completamente no disponible para los usuarios autorizados puede afectarse la misión de la organización Disponibilidad • Protección de la información contra divulgaciones no autorizadas. Confidencialidad
  18. 18. Análisis de Impactos
  19. 19. Determinación del Riesgo Riesgo = Probabilidad X Impacto Probabilidad: Probabilidad de ocurrencia de un incidente o fallo en un periodo de tiempo determinado. Impacto: Impacto asociado a la ocurrencia de un incidente o fallo. Incluye pérdidas económicas, en productividad, en desempeño, en imagen organizacional, etc. y usualmente se expresa en dinero.
  20. 20. Determinación del Riesgo Matriz de Riesgos
  21. 21. - Implementación de controles - Documentación de amenazas, vulnerabilidades, riesgos
  22. 22. Manejo de Riesgos • Eliminar la amenaza quitando la falla o vulnerabilidad Eliminarlo • Implementar controles que restringen el impacto de una amenaza Reducirlo • Pagándole a un tercero para que el asuma el riesgo por mi Transferirlo • El nivel de riesgo es muy bajo y cuesta mas la implementación del control que las repercusiones económicas. Aceptarlo
  23. 23. Diseno sistema Activo Falla o debilidad? Explotable? Existe vulnerabilidad? & No hay riesgo No hay riesgo Existe amenaza Motivacion? Perdida considerable? Riesgo inaceptable Acepta riesgo Acepta riesgo Si No No No No Si SiSi Controles Riesgo Residual Resumen
  24. 24. Es el riesgo latente luego de aplicar los controles apropiados Riesgo Residual

×