Ing. Mendoza Corpus Carlos
   La guerra es un asunto de importancia vital para    el Estado; un asunto de vida o muerte, el camino    hacia la super...
   ¿Seguro con respecto a qué?    ◦ Para el dinero, para sus empleados, para sus      clientes.   ¿Ante qué es seguro?  ...
Pérdida de               Perjuicio de la                  beneficios                reputación                            ...
   Seguridad es la capacidad de las redes o de    los sistemas de información para resistir, con    un determinado nivel ...
   La norma UNE-ISO/IEC 17799 define la seguridad    de la información como la preservación de...    ◦ ... su confidencia...
   Protegemos los activos.   Se denominan activos los recursos del    sistema de información o relacionados con    éste,...
   El activo esencial es la información que maneja el sistema;    o sea los datos. Y alrededor de estos datos se pueden  ...
   Protegemos los activos de las amenazas.   Las amenazas son “cosas que ocurren”. Y, de    todo lo que puede ocurrir, i...
   Las vulnerabilidades son debilidades    asociadas a activos de información. En sí    mismas no causan daño.   Esas de...
   Reduciendo su riesgo.   El riesgo es una estimación del grado de    exposición a que una amenaza se materialice    so...
   Implantar controles o salvaguardas con el    objetivo de reducir el riesgo.   Las salvaguardas pueden tener    vulner...
   ACTIVO: recurso del sistema de información o    relacionado con éste, necesario para que la    organización funcione c...
   Es de sentido común que no se puede invertir    en salvaguardas más allá del valor de los    propios activos a proteger.
   Evaluación    ◦ Evaluar y valorar los activos    ◦ Identificar los riesgos de la seguridad    ◦ Analizar y asignar pri...
1                       2           Identificación               Análisis                              5                  ...
   Análisis de riesgos: proceso sistemático para    estimar la magnitud de los riesgos a que está    expuesta una Organiz...
   Paso 1. Identificar los activos.   Paso 2. Valorar los activos.   Paso 3. Identificar las amenazas.   Paso 4. Deter...
   ¿Por qué interesa un activo? Por lo que vale.    ◦ Si algo no vale para nada, prescíndase de ello. Si no      se puede...
   La valoración es la determinación del coste que    supondría salir de una incidencia que degradara el    activo.   Ha...
   La valoración puede ser cuantitativa (con una    cantidad numérica) o cualitativa (en alguna    escala de niveles). Lo...
   D disponibilidad    ◦ ¿Qué importancia tendría que el activo no estuviera       disponible?   I integridad    ◦ ¿Qué ...
1. El servidor proporciona una funcionalidadbásica pero no tiene un impacto financieroen el negocio.3. El servidor contien...
Tipos de amenazas                            Ejemplos                    Falsificar                             mensajes ...
   Cuando un activo es víctima de una amenaza,    no se ve afectado en todas sus dimensiones,    ni en la misma cuantía....
   Se denomina impacto a la medida del daño    sobre el activo derivado de la materialización    de una amenaza.
   DREAD    ◦ Daño    ◦ Capacidad de reproducción    ◦ Capacidad de explotación    ◦ Usuarios afectados    ◦ Capacidad de...
   Las salvaguardas entran en el cálculo del riesgo    de dos formas:    ◦ Reduciendo la frecuencia de las amenazas. Se l...
   Las salvaguardas se caracterizan, además de por    su existencia, por su eficacia frente al riesgo que    pretenden co...
   Algunas salvaguardas, notablemente las de tipo    técnico, se traducen en el despliegue de más    Equipamiento que se ...
   Si se puede, se evita   Si no, hay que plantear una estrategia    ◦ hay que tener medidas preventivas    ◦ hay que te...
   Controles disuasorios: reducen la posibilidad    de incidente (cámaras de vigilancia).   Controles preventivos: reduc...
   Metodología de Análisis y Gestión de Riesgos    de los Sistemas de Información.   Promovido por CSAE: Consejo Superio...
   Directos:    ◦ concienciar a los responsables de los sistemas de      información de la existencia de riesgos y de la ...
   The Security Risk Management Guide.    ◦ Microsoft.   MAGERIT – versión 2 Metodología de Análisis    y Gestión de Rie...
Analisis gestion de riesgos
Analisis gestion de riesgos
Analisis gestion de riesgos
Analisis gestion de riesgos
Analisis gestion de riesgos
Analisis gestion de riesgos
Analisis gestion de riesgos
Analisis gestion de riesgos
Analisis gestion de riesgos
Analisis gestion de riesgos
Analisis gestion de riesgos
Analisis gestion de riesgos
Analisis gestion de riesgos
Analisis gestion de riesgos
Analisis gestion de riesgos
Analisis gestion de riesgos
Analisis gestion de riesgos
Próxima SlideShare
Cargando en…5
×

Analisis gestion de riesgos

1.107 visualizaciones

Publicado el

Auditoria

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
1.107
En SlideShare
0
De insertados
0
Número de insertados
3
Acciones
Compartido
0
Descargas
71
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Analisis gestion de riesgos

  1. 1. Ing. Mendoza Corpus Carlos
  2. 2.  La guerra es un asunto de importancia vital para el Estado; un asunto de vida o muerte, el camino hacia la supervivencia o la destrucción. Por lo tanto, es imperativo estudiarla profundamente. Hay que valorarla en términos de cinco factores fundamentales, y hacer comparaciones entre diversas condiciones de los bandos antagonistas, de cara a determinar el resultado de la contienda. El primero de estos factores es la política; el segundo, el clima; el tercero, el terreno; el cuarto, el comandante; y el quinto, la doctrina. Mediante todo esto, uno puede adivinar el resultado final de la batalla. El arte de la guerra Sun Tzu, 2.000 a.C.
  3. 3.  ¿Seguro con respecto a qué? ◦ Para el dinero, para sus empleados, para sus clientes. ¿Ante qué es seguro? ◦ Un robo, un incendio, una crisis económica, etc. ¿Qué medidas incluye para aumentar la seguridad? ¿El reducir la cantidad de dinero efectivo, aumenta la seguridad? ¿Las medidas de seguridad hacen que no exista ningún riesgo para el banco?
  4. 4. Pérdida de Perjuicio de la beneficios reputación Pérdida o Deterioro de la compromiso confianza del de la seguridad inversor de los datosDeterioro de la Interrupción deconfianza del Consecuencias los procesos cliente legales empresariales
  5. 5.  Seguridad es la capacidad de las redes o de los sistemas de información para resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.
  6. 6.  La norma UNE-ISO/IEC 17799 define la seguridad de la información como la preservación de... ◦ ... su confidencialidad.  Sólo quienes estén autorizados pueden acceder a la información. ◦ ... su integridad.  La información y sus métodos de proceso son exactos y completos. ◦ ... su disponibilidad.  Los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.
  7. 7.  Protegemos los activos. Se denominan activos los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección.
  8. 8.  El activo esencial es la información que maneja el sistema; o sea los datos. Y alrededor de estos datos se pueden identificar otros activos relevantes: ◦ Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos. ◦ Las aplicaciones informáticas (software) que permiten manejar los datos. ◦ Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y servicios. ◦ Los soportes de información que son dispositivos de almacenamiento de datos. ◦ El equipamiento auxiliar que complementa el material informático. ◦ Las redes de comunicaciones que permiten intercambiar datos. ◦ Las instalaciones que acogen equipos informáticos y de comunicaciones. ◦ Las personas que explotan u operan todos los elementos anteriormente citados.
  9. 9.  Protegemos los activos de las amenazas. Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño.
  10. 10.  Las vulnerabilidades son debilidades asociadas a activos de información. En sí mismas no causan daño. Esas debilidades pueden ser explotadas por amenazas que pueden causar una rotura de seguridad que tenga como consecuencia daño o perdida de esos activos de información
  11. 11.  Reduciendo su riesgo. El riesgo es una estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización (impacto). El riesgo crece con el impacto y con la frecuencia.
  12. 12.  Implantar controles o salvaguardas con el objetivo de reducir el riesgo. Las salvaguardas pueden tener vulnerabilidades por lo que es necesario realizar pruebas y seguimiento de las mismas. La seguridad absoluta no existe ◦ siempre hay que aceptar un riesgo que, eso sí, debe ser conocido y sometido al umbral de calidad que se requiere del servicio.
  13. 13.  ACTIVO: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección. Vulnerabilidades: debilidades asociadas a activos de información AMENAZA: Evento que puede desencadenar un incidente en la organización, produciendo daños o pérdidas en sus activos. RIESGO: Posibilidad de que una amenaza se materialice. IMPACTO: Consecuencia sobre un activo de la materialización de una amenaza. CONTROL: Práctica, procedimiento o mecanismo que reduce el nivel de riesgo.
  14. 14.  Es de sentido común que no se puede invertir en salvaguardas más allá del valor de los propios activos a proteger.
  15. 15.  Evaluación ◦ Evaluar y valorar los activos ◦ Identificar los riesgos de la seguridad ◦ Analizar y asignar prioridad a los riesgos de la seguridad Desarrollo e implementación ◦ Desarrollar métodos correctivos de seguridad ◦ Probar los métodos correctivos de seguridad ◦ Obtener información de seguridad Funcionamiento ◦ Volver a valorar los activos nuevos y los que han sufrido cambios, así como los riesgos de seguridad ◦ Estabilizar e implementar medidas preventivas nuevas o que han cambiado
  16. 16. 1 2 Identificación Análisis 5 3Declaración de Control Planriesgos 4 Seguimiento
  17. 17.  Análisis de riesgos: proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. Gestión de riesgos: selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Análisis de riesgos + Tratamientos de riesgos = Gestión de riesgos
  18. 18.  Paso 1. Identificar los activos. Paso 2. Valorar los activos. Paso 3. Identificar las amenazas. Paso 4. Determinar el impacto de una amenaza. Paso 5. Determinación del riesgo. Paso 6. Establecer salvaguardas. Paso 7. Revisión del paso 4, determinar el impacto residual. Paso 8. Revisión del paso 5, determinar el riesgo residual.
  19. 19.  ¿Por qué interesa un activo? Por lo que vale. ◦ Si algo no vale para nada, prescíndase de ello. Si no se puede prescindir impunemente de un activo, es que algo vale; eso es lo que hay que averiguar pues eso es lo que hay que proteger. El valor de un activo puede ser propio o acumulado. ◦ Si un activo A depende de otro activo B, el valor de B se incrementa.
  20. 20.  La valoración es la determinación del coste que supondría salir de una incidencia que degradara el activo. Hay muchos factores a considerar: ◦ coste de reposición: adquisición e instalación ◦ coste de mano de obra (especializada) invertida en recuperar (el valor) del activo ◦ lucro cesante: pérdida de ingresos ◦ capacidad de operar: confianza de los usuarios y proveedores que se traduce en una pérdida de actividad o en peores condiciones económicas ◦ sanciones por incumplimiento de la ley u obligaciones contractuales ◦ daño a otros activos, propios o ajenos ◦ daño a personas ◦ daños medioambientales.
  21. 21.  La valoración puede ser cuantitativa (con una cantidad numérica) o cualitativa (en alguna escala de niveles). Los criterios más importantes a respetar son: ◦ la homogeneidad: es importante poder comparar valores aunque sean de diferentes dimensiones a fin de poder combinar valores propios y valores acumulados, así como poder determinar si es más grave el daño en una dimensión o en otra ◦ la relatividad: es importante poder relativizar el valor de un activo en comparación con otros activos
  22. 22.  D disponibilidad ◦ ¿Qué importancia tendría que el activo no estuviera disponible? I integridad ◦ ¿Qué importancia tendría que el activo fuera modificado fuera de control? C confidencialidad ◦ ¿Qué importancia tendría que el activo fuera conocido por personas no autorizadas? A autenticidad ◦ ¿Qué importancia tendría que quien accede al activo no sea realmente quien se cree? T trazabilidad (accountability) ◦ ¿Qué importancia tendría que no quedara constancia del uso del activo?
  23. 23. 1. El servidor proporciona una funcionalidadbásica pero no tiene un impacto financieroen el negocio.3. El servidor contiene informaciónimportante,pero los datos se pueden recuperar rápida yfácilmente.5. El servidor contiene datos importantesque llevaría algún tiempo recuperar.8. El servidor contiene informaciónimportante para los objetivos empresarialesde la compañía. La pérdida de esteequipamientotendría un efecto considerable en laproductividad de todos los usuarios.10.El servidor tiene un efecto considerableen el negocio de la compañía. La pérdida deeste equipamiento resultaría en unadesventaja con respecto a la competencia.
  24. 24. Tipos de amenazas Ejemplos Falsificar mensajes de correo electrónicoSuplantación Reproducir paquetes de autenticación Alterar datos durante la transmisiónAlteración Cambiar datos en archivos Eliminar un archivo esencial y denegar este hechoRepudio Adquirir un producto y negar posteriormente que se ha adquirido Exponer la información en mensajes de errorDivulgación deinformación Exponer el código de los sitios Web Inundar una red con paquetes de sincronizaciónDenegación deservicio Inundar una red con paquetes ICMP falsificados Explotar la saturación de un búfer para obtener privilegiosElevación de en el sistemaprivilegios Obtener privilegios de administrador de forma ilegítima
  25. 25.  Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuantía. Una vez determinado que una amenaza puede perjudicar a un activo, hay que estimar cuán vulnerable es el activo, en dos sentidos: ◦ degradación: cuán perjudicado resultaría el activo ◦ frecuencia: cada cuánto se materializa la amenaza
  26. 26.  Se denomina impacto a la medida del daño sobre el activo derivado de la materialización de una amenaza.
  27. 27.  DREAD ◦ Daño ◦ Capacidad de reproducción ◦ Capacidad de explotación ◦ Usuarios afectados ◦ Capacidad de descubrimiento
  28. 28.  Las salvaguardas entran en el cálculo del riesgo de dos formas: ◦ Reduciendo la frecuencia de las amenazas. Se llaman salvaguardas preventivas. Las ideales llegan a impedir completamente que la amenaza se materialice. ◦ Limitando el daño causado. Hay salvaguardas que directamente limitan la posible degradación, mientras que otras permiten detectar inmediatamente el ataque para frenar que la degradación avance. Incluso algunas salvaguardas se limitan a permitir la pronta recuperación del sistema cuando la amenaza lo destruye. En cualquiera de las versiones, la amenaza se materializa; pero las consecuencias se limitan.
  29. 29.  Las salvaguardas se caracterizan, además de por su existencia, por su eficacia frente al riesgo que pretenden conjurar. La salvaguarda ideal es 100% eficaz, lo que implica que:  es teóricamente idónea  está perfectamente desplegada, configurada y mantenida  se emplea siempre  existen procedimientos claros de uso normal y en caso de incidencias los usuarios están formados y concienciados  existen controles que avisan de posibles fallos  Entre una eficacia del 0% para aquellas que están de adorno y el 100% para aquellas que son perfectas, se estimará un grado de eficacia real en cada caso concreto.
  30. 30.  Algunas salvaguardas, notablemente las de tipo técnico, se traducen en el despliegue de más Equipamiento que se convierte a su vez en un activo del sistema. ◦ Estos activos soportan parte del valor del sistema y están a su vez sujetos a amenazas que pueden perjudicar a los activos de valor. Hay que repetir el análisis de riesgos, ampliándolo con el nuevo despliegue de medios y, por supuesto, cerciorarse de que el riesgo del sistema ampliado es menor que el del sistema original; es decir, que las salvaguardas efectivamente disminuyen el estado de riesgo de la Organización.
  31. 31.  Si se puede, se evita Si no, hay que plantear una estrategia ◦ hay que tener medidas preventivas ◦ hay que tener un plan de emergencia ◦ hay que tener un plan de recuperación
  32. 32.  Controles disuasorios: reducen la posibilidad de incidente (cámaras de vigilancia). Controles preventivos: reduce la vulnerabilidad (ej. Parches en los Sistemas operativos) Controles detectores: detectan incidente en curso (sensores IDS en las redes). Controles correctivos: posterior al incidente (copias de seguridad).
  33. 33.  Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Promovido por CSAE: Consejo Superior de Administración Electrónica.
  34. 34.  Directos: ◦ concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo ◦ ofrecer un método sistemático para analizar tales riesgos ◦ ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo control. Indirectos: ◦ preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso
  35. 35.  The Security Risk Management Guide. ◦ Microsoft. MAGERIT – versión 2 Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. ◦ Ministerio español de Administraciones Públicas Fundamentos de seguridad – Microsoft Technet.

×