SlideShare una empresa de Scribd logo

Análisis de riesgos aplicando la metodología OWASP

A
Alvaro Machaca Tola

Participé como expositor en el OWASP Latam Tour 2015 celebrado en Santa Cruz - Bolivia, con el tema "Análisis de riesgos aplicando la metodología OWASP".

Tecnología
1 de 23
Descargar para leer sin conexión
ANÁLISIS DE RIESGOS APLICANDO LA METODOLOGÍA OWASP
About Me • Alvaro Machaca Tola • Experiencia laboral en áreas de seguridad de la información, seguridad informática y auditoria de sistemas en entidades financieras, bolsa de valores y empresas de medios de pago electrónico. • CCNA | CEH | ISO 27001 Internal Auditor. • Actualmente consultor experimentado en la firma global Ernst & Young (EY). • alvaro_machaca@hotmail.com • alvaro.machaca@bo.ey.com • https://bo.linkedin.com/pub/alvaro-machaca-tola/42/85b/7
¿Dónde se encuentra el Riesgo?
Riesgos en la Empresa Riesgos relacionados con TI Riesgos Operacionales Riesgos de Crédito Riesgos de Mercado Riesgos Estratégicos
Riesgo Tecnológico Es la probabilidad de sufrir pérdidas por caídas o fallos en los sistemas informáticos o transmisión de datos, errores de programación u otros, siendo un componente del riesgo operativo. Fuente: ASFI 207/13 – Dic/2013 Directrices Básicas para la Gestión del Riesgo Operativo
Riesgos Materializados
Riesgos en Aplicaciones Los atacantes pueden usar potencialmente rutas diferentes a través de la aplicación para hacer daño al negocio u organización, estas rutas representan un riesgo que puede, o no, ser lo suficientemente grave como para justificar la atención. Fuente: OWASP Top 10
Representación del Riesgo Fuente: OWASP Top 10 - 2013
OWASP Risk Rating Methodology Para valorar el riesgo, se deben tomar en cuenta los siguientes aspectos:  Una vulnerabilidad critica para un tipo de negocio no lo es necesariamente para otro negocio.  Existen metodologías y estándares internacionales para la gestión de riesgos las cuales deben adaptarse al negocio.
Identificar el Riesgo El primer paso es identificar un riesgo de seguridad que necesita ser tratado:  Identificar agentes de amenaza.  Identificar vulnerabilidades que pueden ser explotados por los agentes de amenaza.  Estimar el impacto sobre el negocio de una materialización de la amenaza.
Estimar la Probabilidad Una vez identificados los riesgos, debe estimarse:  La probabilidad de que una vulnerabilidad en particular sea descubierta y explotada.  Inicialmente es recomendable definir parámetros de calificación cualitativos para estimar la probabilidad. Para un calculo con mayor certeza s recomendable el calculo cuantitativo. ALTA Vulnerabilidad que si es explotada comprometería la seguridad de la información ocasionando un impacto negativo sobre la empresa. Debe solucionarse inmediatamente. MEDIA Vulnerabilidad que si es explotada tendría un impacto leve sobre la operativa del negocio. Puede solucionarse en un tiempo prudente.BAJA Vulnerabilidad que si es explotada no ocasionaría mayores inconvenientes. Su solución no necesariamente será inmediata.
Agentes de Amenaza • * Desarrolladores (2) • Administradores de sistemas (2) • Usuarios internos (4) • Socios de negocio (5) • Usuarios autenticados (6) • Anónimos (9) •Acceso total (0) •Acceso especial (4) •Algunos accesos (7) •Sin acceso (9) •Baja o sin motivación (1) •Algo de interés (4) •Bastante interesado (9) • Penetration tester (1) • Redes y Programación (3) • Usuario avanzado en computación (4) • Habilidades técnicas medias (6) • No cuenta con habilidades técnicas (9) Habilidades Técnicas Motivación TamañoOportunidad
Vulnerabilidades •Detección activa en la aplicación (1) •Autenticado y monitoreado (3) •Autenticado sin monitoreo (8) •No autenticado (9) •Desconocido (1) •Medianamente conocido (4) •Común (6) •De conocimiento público (9) •Complejo (1) •Dificultad media (3) •Sencilla (5) •Herramientas automatizadas disponibles (9) • Dificultad alta (1) • Dificultad media (3) • Sencilla (7) • Herramientas automatizadas disponibles (9) Facilidad de Descubrimiento Facilidad de Explotación Detectores de Intrusión Conciencia o Conocimiento
Estimar el Impacto Cuando una amenaza es materializada, deben considerarse dos tipos de impacto:  Impacto Técnico.  Impacto sobre el Negocio.
Impacto Técnico • Totalmente auditable (1) •Posiblemente auditable (7) •No auditable (9) • Mínima (servicios no críticos) (1) • Mínima (servicios críticos) (5) • Considerable (servicios no críticos) (5) • Considerable (servicios críticos) (7) • Pérdida total de los servicios (9) • Mínima (data no critica) (1) • Mínima (data critica) (3) • Considerable (data no critica) (5) • Considerable (data critica) (7) • Corrupción de datos total (9) • Mínima (data no critica) (2) • Mínima (data critica) (6) • Considerable (data no critica) (6) • Considerable (data critica) (7) • Corrupción de datos total (9) Pérdida de Confidencialidad Pérdida de Integridad Pérdida de Auditabilidad Pérdida de Disponibilidad
Impacto en el Negocio •Una persona (3) •Cientos de personas (5) •Miles de personas (7) •Millones de personas (9) •Mínimo (2) •Medio (5) •Alto (7) •Daño mínimo (1) •Pérdida de grandes cuentas (4) •Pérdida de credibilidad a gran escala (5) •Daño total de imagen (9) • Menor que el costo de la solución total (1) • Efecto menor en el costo anual (3) • Efecto significante en el costo anual (7) • Efecto devastador (bancarrota) (9) Daño Económico Daño de Imagen Violación a la Privacidad No cumplimiento
Determinar la Severidad del Riesgo Para determinar la severidad del riesgo, se debe trabajar con los siguientes valores:  Probabilidad de la ocurrencia de la amenaza.  Impacto generado sobre el negocio.
Ejemplo – Cálculo de la probabilidad Variables de agentes de amenaza y Variable de factores de vulnerabilidad 8
Ejemplo – Cálculo del Impacto Variables de Impacto técnico 4 Variables de Impacto sobre el negocio 4
Resultado http://paradoslabs.nl/owaspcalc/
Priorizar Planes de Acción Luego de que se hayan clasificado los riesgos de la aplicación, debe desarrollarse una lista de priorización para dar solución inmediata a los riesgos identificados con prioridad ALTA.
Personalizar el modelo de clasificación de Riesgos Es fundamental crear un modelo o marco de clasificación y de riesgos para las aplicaciones del negocio, los siguientes son puntos que deben considerarse en el modelo:  Adicionar Factores de Riesgo: define que deben identificarse factores de riesgo que sean representativos para el negocio en específico.  Personalización de Factores de Riesgo define que la personalización de los factores de riesgos es adecuada para la eficacia del mismo y permite una adecuación sobre los procesos reales del negocio.  Ponderar Factores de Riesgo: define que deben ponderarse los factores de riesgos, esto requiere de un mayor análisis pero es lo mas adecuado para lograr una clasificación y análisis detallada.
GRACIAS

Recomendados

Getting started with Site Reliability Engineering (SRE)
Getting started with Site Reliability Engineering (SRE)Getting started with Site Reliability Engineering (SRE)
Getting started with Site Reliability Engineering (SRE)Abeer R
 
Code review
Code reviewCode review
Code reviewAbhishek Sur
 
Site Reliability Engineering (SRE) - Tech Talk by Keet Sugathadasa
Site Reliability Engineering (SRE) - Tech Talk by Keet SugathadasaSite Reliability Engineering (SRE) - Tech Talk by Keet Sugathadasa
Site Reliability Engineering (SRE) - Tech Talk by Keet SugathadasaKeet Sugathadasa
 
API Sandbox: Empowering Developer Experience (DX)
API Sandbox: Empowering Developer Experience (DX)API Sandbox: Empowering Developer Experience (DX)
API Sandbox: Empowering Developer Experience (DX)Faisal Banaeamah
 
Reliability of the Cloud: How AWS Achieves High Availability (ARC317-R1) - AW...
Reliability of the Cloud: How AWS Achieves High Availability (ARC317-R1) - AW...Reliability of the Cloud: How AWS Achieves High Availability (ARC317-R1) - AW...
Reliability of the Cloud: How AWS Achieves High Availability (ARC317-R1) - AW...Amazon Web Services
 
Enterprise Application Integration Technologies
Enterprise Application Integration TechnologiesEnterprise Application Integration Technologies
Enterprise Application Integration TechnologiesPeter R. Egli
 
CI/CD Best Practices for Building Modern Applications - MAD302 - Anaheim AWS ...
CI/CD Best Practices for Building Modern Applications - MAD302 - Anaheim AWS ...CI/CD Best Practices for Building Modern Applications - MAD302 - Anaheim AWS ...
CI/CD Best Practices for Building Modern Applications - MAD302 - Anaheim AWS ...Amazon Web Services
 
SRE From Scratch
SRE From ScratchSRE From Scratch
SRE From ScratchGrier Johnson
 

Recomendados

Getting started with Site Reliability Engineering (SRE)
Getting started with Site Reliability Engineering (SRE)Getting started with Site Reliability Engineering (SRE)
Getting started with Site Reliability Engineering (SRE)Abeer R
 
Code review
Code reviewCode review
Code reviewAbhishek Sur
 
Site Reliability Engineering (SRE) - Tech Talk by Keet Sugathadasa
Site Reliability Engineering (SRE) - Tech Talk by Keet SugathadasaSite Reliability Engineering (SRE) - Tech Talk by Keet Sugathadasa
Site Reliability Engineering (SRE) - Tech Talk by Keet SugathadasaKeet Sugathadasa
 
API Sandbox: Empowering Developer Experience (DX)
API Sandbox: Empowering Developer Experience (DX)API Sandbox: Empowering Developer Experience (DX)
API Sandbox: Empowering Developer Experience (DX)Faisal Banaeamah
 
Reliability of the Cloud: How AWS Achieves High Availability (ARC317-R1) - AW...
Reliability of the Cloud: How AWS Achieves High Availability (ARC317-R1) - AW...Reliability of the Cloud: How AWS Achieves High Availability (ARC317-R1) - AW...
Reliability of the Cloud: How AWS Achieves High Availability (ARC317-R1) - AW...Amazon Web Services
 
Enterprise Application Integration Technologies
Enterprise Application Integration TechnologiesEnterprise Application Integration Technologies
Enterprise Application Integration TechnologiesPeter R. Egli
 
CI/CD Best Practices for Building Modern Applications - MAD302 - Anaheim AWS ...
CI/CD Best Practices for Building Modern Applications - MAD302 - Anaheim AWS ...CI/CD Best Practices for Building Modern Applications - MAD302 - Anaheim AWS ...
CI/CD Best Practices for Building Modern Applications - MAD302 - Anaheim AWS ...Amazon Web Services
 
SRE From Scratch
SRE From ScratchSRE From Scratch
SRE From ScratchGrier Johnson
 
DevSecOps 101
DevSecOps 101DevSecOps 101
DevSecOps 101Narudom Roongsiriwong, CISSP
 
Practical DevSecOps - Arief Karfianto
Practical DevSecOps - Arief KarfiantoPractical DevSecOps - Arief Karfianto
Practical DevSecOps - Arief Karfiantoidsecconf
 
DevOpsSec: Appling DevOps Principles to Security, DevOpsDays Austin 2012
DevOpsSec: Appling DevOps Principles to Security, DevOpsDays Austin 2012DevOpsSec: Appling DevOps Principles to Security, DevOpsDays Austin 2012
DevOpsSec: Appling DevOps Principles to Security, DevOpsDays Austin 2012Nick Galbreath
 
SRE (service reliability engineer) on big DevOps platform running on the clou...
SRE (service reliability engineer) on big DevOps platform running on the clou...SRE (service reliability engineer) on big DevOps platform running on the clou...
SRE (service reliability engineer) on big DevOps platform running on the clou...DevClub_lv
 
Microservice architecture design principles
Microservice architecture design principlesMicroservice architecture design principles
Microservice architecture design principlesSanjoy Kumar Roy
 
Microservice Architecture
Microservice ArchitectureMicroservice Architecture
Microservice ArchitectureNguyen Tung
 
Getting Started with Architecture Decision Records
Getting Started with Architecture Decision RecordsGetting Started with Architecture Decision Records
Getting Started with Architecture Decision RecordsMichael Keeling
 
Agile Testing Framework - The Art of Automated Testing
Agile Testing Framework - The Art of Automated TestingAgile Testing Framework - The Art of Automated Testing
Agile Testing Framework - The Art of Automated TestingDimitri Ponomareff
 
Mulesoft Connections to different companies, and different services
Mulesoft Connections to different companies, and different servicesMulesoft Connections to different companies, and different services
Mulesoft Connections to different companies, and different servicesByreddy Sravan Kumar Reddy
 
Chaos Engineering with Gremlin Platform
Chaos Engineering with Gremlin PlatformChaos Engineering with Gremlin Platform
Chaos Engineering with Gremlin PlatformAnshul Patel
 
SRE 101
SRE 101SRE 101
SRE 101Diego Pacheco
 
What is Site Reliability Engineering (SRE)
What is Site Reliability Engineering (SRE)What is Site Reliability Engineering (SRE)
What is Site Reliability Engineering (SRE)jeetendra mandal
 
DevSecOps in the Cloud from the Lens of a Well-Architected Framework.pptx
DevSecOps in the Cloud from the Lens of a Well-Architected Framework.pptxDevSecOps in the Cloud from the Lens of a Well-Architected Framework.pptx
DevSecOps in the Cloud from the Lens of a Well-Architected Framework.pptxTurja Narayan Chaudhuri
 
Shift Left Security
Shift Left SecurityShift Left Security
Shift Left SecurityBATbern
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Kleitor Franklint Correa Araujo
 
The What, Why, and How of DevSecOps
The What, Why, and How of DevSecOpsThe What, Why, and How of DevSecOps
The What, Why, and How of DevSecOpsCprime
 
Modelo de cascadaa
Modelo de cascadaaModelo de cascadaa
Modelo de cascadaamendez45
 
SCS DevSecOps Seminar - State of DevSecOps
SCS DevSecOps Seminar - State of DevSecOpsSCS DevSecOps Seminar - State of DevSecOps
SCS DevSecOps Seminar - State of DevSecOpsStefan Streichsbier
 
A Crash Course in Building Site Reliability
A Crash Course in Building Site ReliabilityA Crash Course in Building Site Reliability
A Crash Course in Building Site ReliabilityAcquia
 
Automação de Teste em Front End - Caipira Ágil
Automação de Teste em Front End - Caipira ÁgilAutomação de Teste em Front End - Caipira Ágil
Automação de Teste em Front End - Caipira ÁgilElias Nogueira
 
Diabetes
DiabetesDiabetes
DiabetesGabriela Antelo Pomacusi
 
360 grr.pdf ca basocelular
360 grr.pdf ca basocelular360 grr.pdf ca basocelular
360 grr.pdf ca basocelularKarina Vázquez
 

Más contenido relacionado

La actualidad más candente

Practical DevSecOps - Arief Karfianto
Practical DevSecOps - Arief KarfiantoPractical DevSecOps - Arief Karfianto
Practical DevSecOps - Arief Karfiantoidsecconf
 
DevOpsSec: Appling DevOps Principles to Security, DevOpsDays Austin 2012
DevOpsSec: Appling DevOps Principles to Security, DevOpsDays Austin 2012DevOpsSec: Appling DevOps Principles to Security, DevOpsDays Austin 2012
DevOpsSec: Appling DevOps Principles to Security, DevOpsDays Austin 2012Nick Galbreath
 
SRE (service reliability engineer) on big DevOps platform running on the clou...
SRE (service reliability engineer) on big DevOps platform running on the clou...SRE (service reliability engineer) on big DevOps platform running on the clou...
SRE (service reliability engineer) on big DevOps platform running on the clou...DevClub_lv
 
Microservice architecture design principles
Microservice architecture design principlesMicroservice architecture design principles
Microservice architecture design principlesSanjoy Kumar Roy
 
Microservice Architecture
Microservice ArchitectureMicroservice Architecture
Microservice ArchitectureNguyen Tung
 
Getting Started with Architecture Decision Records
Getting Started with Architecture Decision RecordsGetting Started with Architecture Decision Records
Getting Started with Architecture Decision RecordsMichael Keeling
 
Agile Testing Framework - The Art of Automated Testing
Agile Testing Framework - The Art of Automated TestingAgile Testing Framework - The Art of Automated Testing
Agile Testing Framework - The Art of Automated TestingDimitri Ponomareff
 
Mulesoft Connections to different companies, and different services
Mulesoft Connections to different companies, and different servicesMulesoft Connections to different companies, and different services
Mulesoft Connections to different companies, and different servicesByreddy Sravan Kumar Reddy
 
Chaos Engineering with Gremlin Platform
Chaos Engineering with Gremlin PlatformChaos Engineering with Gremlin Platform
Chaos Engineering with Gremlin PlatformAnshul Patel
 
What is Site Reliability Engineering (SRE)
What is Site Reliability Engineering (SRE)What is Site Reliability Engineering (SRE)
What is Site Reliability Engineering (SRE)jeetendra mandal
 
DevSecOps in the Cloud from the Lens of a Well-Architected Framework.pptx
DevSecOps in the Cloud from the Lens of a Well-Architected Framework.pptxDevSecOps in the Cloud from the Lens of a Well-Architected Framework.pptx
DevSecOps in the Cloud from the Lens of a Well-Architected Framework.pptxTurja Narayan Chaudhuri
 
Shift Left Security
Shift Left SecurityShift Left Security
Shift Left SecurityBATbern
 
The What, Why, and How of DevSecOps
The What, Why, and How of DevSecOpsThe What, Why, and How of DevSecOps
The What, Why, and How of DevSecOpsCprime
 
Modelo de cascadaa
Modelo de cascadaaModelo de cascadaa
Modelo de cascadaamendez45
 
SCS DevSecOps Seminar - State of DevSecOps
SCS DevSecOps Seminar - State of DevSecOpsSCS DevSecOps Seminar - State of DevSecOps
SCS DevSecOps Seminar - State of DevSecOpsStefan Streichsbier
 
A Crash Course in Building Site Reliability
A Crash Course in Building Site ReliabilityA Crash Course in Building Site Reliability
A Crash Course in Building Site ReliabilityAcquia
 
Automação de Teste em Front End - Caipira Ágil
Automação de Teste em Front End - Caipira ÁgilAutomação de Teste em Front End - Caipira Ágil
Automação de Teste em Front End - Caipira ÁgilElias Nogueira
 

La actualidad más candente (20)

DevSecOps 101
DevSecOps 101DevSecOps 101
DevSecOps 101
 
Practical DevSecOps - Arief Karfianto
Practical DevSecOps - Arief KarfiantoPractical DevSecOps - Arief Karfianto
Practical DevSecOps - Arief Karfianto
 
DevOpsSec: Appling DevOps Principles to Security, DevOpsDays Austin 2012
DevOpsSec: Appling DevOps Principles to Security, DevOpsDays Austin 2012DevOpsSec: Appling DevOps Principles to Security, DevOpsDays Austin 2012
DevOpsSec: Appling DevOps Principles to Security, DevOpsDays Austin 2012
 
SRE (service reliability engineer) on big DevOps platform running on the clou...
SRE (service reliability engineer) on big DevOps platform running on the clou...SRE (service reliability engineer) on big DevOps platform running on the clou...
SRE (service reliability engineer) on big DevOps platform running on the clou...
 
Microservice architecture design principles
Microservice architecture design principlesMicroservice architecture design principles
Microservice architecture design principles
 
Microservice Architecture
Microservice ArchitectureMicroservice Architecture
Microservice Architecture
 
Getting Started with Architecture Decision Records
Getting Started with Architecture Decision RecordsGetting Started with Architecture Decision Records
Getting Started with Architecture Decision Records
 
Agile Testing Framework - The Art of Automated Testing
Agile Testing Framework - The Art of Automated TestingAgile Testing Framework - The Art of Automated Testing
Agile Testing Framework - The Art of Automated Testing
 
Mulesoft Connections to different companies, and different services
Mulesoft Connections to different companies, and different servicesMulesoft Connections to different companies, and different services
Mulesoft Connections to different companies, and different services
 
Chaos Engineering with Gremlin Platform
Chaos Engineering with Gremlin PlatformChaos Engineering with Gremlin Platform
Chaos Engineering with Gremlin Platform
 
SRE 101
SRE 101SRE 101
SRE 101
 
What is Site Reliability Engineering (SRE)
What is Site Reliability Engineering (SRE)What is Site Reliability Engineering (SRE)
What is Site Reliability Engineering (SRE)
 
DevSecOps in the Cloud from the Lens of a Well-Architected Framework.pptx
DevSecOps in the Cloud from the Lens of a Well-Architected Framework.pptxDevSecOps in the Cloud from the Lens of a Well-Architected Framework.pptx
DevSecOps in the Cloud from the Lens of a Well-Architected Framework.pptx
 
Shift Left Security
Shift Left SecurityShift Left Security
Shift Left Security
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011
 
The What, Why, and How of DevSecOps
The What, Why, and How of DevSecOpsThe What, Why, and How of DevSecOps
The What, Why, and How of DevSecOps
 
Modelo de cascadaa
Modelo de cascadaaModelo de cascadaa
Modelo de cascadaa
 
SCS DevSecOps Seminar - State of DevSecOps
SCS DevSecOps Seminar - State of DevSecOpsSCS DevSecOps Seminar - State of DevSecOps
SCS DevSecOps Seminar - State of DevSecOps
 
A Crash Course in Building Site Reliability
A Crash Course in Building Site ReliabilityA Crash Course in Building Site Reliability
A Crash Course in Building Site Reliability
 
Automação de Teste em Front End - Caipira Ágil
Automação de Teste em Front End - Caipira ÁgilAutomação de Teste em Front End - Caipira Ágil
Automação de Teste em Front End - Caipira Ágil
 

Destacado

360 grr.pdf ca basocelular
360 grr.pdf ca basocelular360 grr.pdf ca basocelular
360 grr.pdf ca basocelularKarina Vázquez
 
Festival de verano
Festival de veranoFestival de verano
Festival de veranolinacumbe
 
Accidente cerebrovascualr
Accidente cerebrovascualrAccidente cerebrovascualr
Accidente cerebrovascualradol10
 
Drc semana03 topologias
Drc semana03 topologiasDrc semana03 topologias
Drc semana03 topologiasJorge Pariasca
 
Software Define Network (SDN) and Openflow
Software Define Network (SDN) and OpenflowSoftware Define Network (SDN) and Openflow
Software Define Network (SDN) and OpenflowKHNOG
 
Anemia megaloblastica por deficit de b9 y b12
Anemia megaloblastica por deficit de b9 y b12Anemia megaloblastica por deficit de b9 y b12
Anemia megaloblastica por deficit de b9 y b12Luis Flores Garduño
 
Pae de ascitis
Pae de ascitisPae de ascitis
Pae de ascitisSu Vega
 
Tutoriel : Personnaliser votre profil Pinterest
Tutoriel : Personnaliser votre profil PinterestTutoriel : Personnaliser votre profil Pinterest
Tutoriel : Personnaliser votre profil PinterestTomateJoyeuse
 

Destacado (16)

Diabetes
DiabetesDiabetes
Diabetes
 
360 grr.pdf ca basocelular
360 grr.pdf ca basocelular360 grr.pdf ca basocelular
360 grr.pdf ca basocelular
 
Festival de verano
Festival de veranoFestival de verano
Festival de verano
 
Tabla de diuréticos
Tabla de diuréticosTabla de diuréticos
Tabla de diuréticos
 
Nuevo rol del supervisor de seguridad
Nuevo rol del supervisor de seguridadNuevo rol del supervisor de seguridad
Nuevo rol del supervisor de seguridad
 
Accidente cerebrovascualr
Accidente cerebrovascualrAccidente cerebrovascualr
Accidente cerebrovascualr
 
4 g
4 g4 g
4 g
 
Gestacion de mellizos en una gata
Gestacion de mellizos en una gataGestacion de mellizos en una gata
Gestacion de mellizos en una gata
 
Tema 02 secuencial
Tema 02 secuencialTema 02 secuencial
Tema 02 secuencial
 
Drc semana03 topologias
Drc semana03 topologiasDrc semana03 topologias
Drc semana03 topologias
 
Unidad II fisiologia
Unidad II fisiologiaUnidad II fisiologia
Unidad II fisiologia
 
Software Define Network (SDN) and Openflow
Software Define Network (SDN) and OpenflowSoftware Define Network (SDN) and Openflow
Software Define Network (SDN) and Openflow
 
Anemia megaloblastica por deficit de b9 y b12
Anemia megaloblastica por deficit de b9 y b12Anemia megaloblastica por deficit de b9 y b12
Anemia megaloblastica por deficit de b9 y b12
 
Suturas
SuturasSuturas
Suturas
 
Pae de ascitis
Pae de ascitisPae de ascitis
Pae de ascitis
 
Tutoriel : Personnaliser votre profil Pinterest
Tutoriel : Personnaliser votre profil PinterestTutoriel : Personnaliser votre profil Pinterest
Tutoriel : Personnaliser votre profil Pinterest
 

Similar a Análisis de riesgos aplicando la metodología OWASP

Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Saeta de Dios
 
Analisis de escenarios de ti en la gestion
Analisis de escenarios de ti en la gestionAnalisis de escenarios de ti en la gestion
Analisis de escenarios de ti en la gestionShirley Contreras Ulloa
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosAranda Software
 
[WEBINAR] Construyendo el Nuevo Data Center.
[WEBINAR] Construyendo el Nuevo Data Center.[WEBINAR] Construyendo el Nuevo Data Center.
[WEBINAR] Construyendo el Nuevo Data Center.Grupo Smartekh
 
Amenazas y medidas frente a ciberataques. ¿nos afecta realmente? ¿cómo proteg...
Amenazas y medidas frente a ciberataques. ¿nos afecta realmente? ¿cómo proteg...Amenazas y medidas frente a ciberataques. ¿nos afecta realmente? ¿cómo proteg...
Amenazas y medidas frente a ciberataques. ¿nos afecta realmente? ¿cómo proteg...Cluster Construction Eraikune
 
Ser pyme no es excusa, para no ocuparse de la ciberseguridad
Ser pyme no es excusa, para no ocuparse de la ciberseguridadSer pyme no es excusa, para no ocuparse de la ciberseguridad
Ser pyme no es excusa, para no ocuparse de la ciberseguridadSantiago Cavanna
 
Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actualJaime Restrepo
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticososcar andres
 
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Symantec LATAM
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...Symantec LATAM
 
Administración de riesgos en informatica
Administración de riesgos en informaticaAdministración de riesgos en informatica
Administración de riesgos en informaticargabrielnaranjo
 
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATION
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATIONHOW RSA CAN HELP WITH DIGITAL TRANSFORMATION
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATIONCristian Garcia G.
 
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de SeguridadDavid Barea Bautista
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
Noticia De Hipotesis
Noticia De HipotesisNoticia De Hipotesis
Noticia De Hipotesissally245
 

Similar a Análisis de riesgos aplicando la metodología OWASP (20)

Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]
 
Analisis de escenarios de ti en la gestion
Analisis de escenarios de ti en la gestionAnalisis de escenarios de ti en la gestion
Analisis de escenarios de ti en la gestion
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgos
 
Protección de Activos Críticos
Protección de Activos CríticosProtección de Activos Críticos
Protección de Activos Críticos
 
[WEBINAR] Construyendo el Nuevo Data Center.
[WEBINAR] Construyendo el Nuevo Data Center.[WEBINAR] Construyendo el Nuevo Data Center.
[WEBINAR] Construyendo el Nuevo Data Center.
 
Eq 4 seg- fiis- matriz de riesgos
Eq 4 seg- fiis- matriz de riesgosEq 4 seg- fiis- matriz de riesgos
Eq 4 seg- fiis- matriz de riesgos
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones Estratégicas
 
Amenazas y medidas frente a ciberataques. ¿nos afecta realmente? ¿cómo proteg...
Amenazas y medidas frente a ciberataques. ¿nos afecta realmente? ¿cómo proteg...Amenazas y medidas frente a ciberataques. ¿nos afecta realmente? ¿cómo proteg...
Amenazas y medidas frente a ciberataques. ¿nos afecta realmente? ¿cómo proteg...
 
Ser pyme no es excusa, para no ocuparse de la ciberseguridad
Ser pyme no es excusa, para no ocuparse de la ciberseguridadSer pyme no es excusa, para no ocuparse de la ciberseguridad
Ser pyme no es excusa, para no ocuparse de la ciberseguridad
 
Dilema de seguridad actual
Dilema de seguridad actualDilema de seguridad actual
Dilema de seguridad actual
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
 
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
 
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se... Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
Be Aware Webinar - Como symantec puede ayudar cuando existe una brecha de se...
 
Administración de riesgos en informatica
Administración de riesgos en informaticaAdministración de riesgos en informatica
Administración de riesgos en informatica
 
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATION
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATIONHOW RSA CAN HELP WITH DIGITAL TRANSFORMATION
HOW RSA CAN HELP WITH DIGITAL TRANSFORMATION
 
3_Riesgos2012.pdf
3_Riesgos2012.pdf3_Riesgos2012.pdf
3_Riesgos2012.pdf
 
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de Riesgos
 
Ciberseguridad - IBM
Ciberseguridad - IBMCiberseguridad - IBM
Ciberseguridad - IBM
 
Noticia De Hipotesis
Noticia De HipotesisNoticia De Hipotesis
Noticia De Hipotesis
 

Último

Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 

Último (16)

Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 

Análisis de riesgos aplicando la metodología OWASP

  • 1. ANÁLISIS DE RIESGOS APLICANDO LA METODOLOGÍA OWASP
  • 2. About Me • Alvaro Machaca Tola • Experiencia laboral en áreas de seguridad de la información, seguridad informática y auditoria de sistemas en entidades financieras, bolsa de valores y empresas de medios de pago electrónico. • CCNA | CEH | ISO 27001 Internal Auditor. • Actualmente consultor experimentado en la firma global Ernst & Young (EY). • alvaro_machaca@hotmail.com • alvaro.machaca@bo.ey.com • https://bo.linkedin.com/pub/alvaro-machaca-tola/42/85b/7
  • 4. Riesgos en la Empresa Riesgos relacionados con TI Riesgos Operacionales Riesgos de Crédito Riesgos de Mercado Riesgos Estratégicos
  • 5. Riesgo Tecnológico Es la probabilidad de sufrir pérdidas por caídas o fallos en los sistemas informáticos o transmisión de datos, errores de programación u otros, siendo un componente del riesgo operativo. Fuente: ASFI 207/13 – Dic/2013 Directrices Básicas para la Gestión del Riesgo Operativo
  • 7. Riesgos en Aplicaciones Los atacantes pueden usar potencialmente rutas diferentes a través de la aplicación para hacer daño al negocio u organización, estas rutas representan un riesgo que puede, o no, ser lo suficientemente grave como para justificar la atención. Fuente: OWASP Top 10
  • 9. OWASP Risk Rating Methodology Para valorar el riesgo, se deben tomar en cuenta los siguientes aspectos:  Una vulnerabilidad critica para un tipo de negocio no lo es necesariamente para otro negocio.  Existen metodologías y estándares internacionales para la gestión de riesgos las cuales deben adaptarse al negocio.
  • 10. Identificar el Riesgo El primer paso es identificar un riesgo de seguridad que necesita ser tratado:  Identificar agentes de amenaza.  Identificar vulnerabilidades que pueden ser explotados por los agentes de amenaza.  Estimar el impacto sobre el negocio de una materialización de la amenaza.
  • 11. Estimar la Probabilidad Una vez identificados los riesgos, debe estimarse:  La probabilidad de que una vulnerabilidad en particular sea descubierta y explotada.  Inicialmente es recomendable definir parámetros de calificación cualitativos para estimar la probabilidad. Para un calculo con mayor certeza s recomendable el calculo cuantitativo. ALTA Vulnerabilidad que si es explotada comprometería la seguridad de la información ocasionando un impacto negativo sobre la empresa. Debe solucionarse inmediatamente. MEDIA Vulnerabilidad que si es explotada tendría un impacto leve sobre la operativa del negocio. Puede solucionarse en un tiempo prudente.BAJA Vulnerabilidad que si es explotada no ocasionaría mayores inconvenientes. Su solución no necesariamente será inmediata.
  • 12. Agentes de Amenaza • * Desarrolladores (2) • Administradores de sistemas (2) • Usuarios internos (4) • Socios de negocio (5) • Usuarios autenticados (6) • Anónimos (9) •Acceso total (0) •Acceso especial (4) •Algunos accesos (7) •Sin acceso (9) •Baja o sin motivación (1) •Algo de interés (4) •Bastante interesado (9) • Penetration tester (1) • Redes y Programación (3) • Usuario avanzado en computación (4) • Habilidades técnicas medias (6) • No cuenta con habilidades técnicas (9) Habilidades Técnicas Motivación TamañoOportunidad
  • 13. Vulnerabilidades •Detección activa en la aplicación (1) •Autenticado y monitoreado (3) •Autenticado sin monitoreo (8) •No autenticado (9) •Desconocido (1) •Medianamente conocido (4) •Común (6) •De conocimiento público (9) •Complejo (1) •Dificultad media (3) •Sencilla (5) •Herramientas automatizadas disponibles (9) • Dificultad alta (1) • Dificultad media (3) • Sencilla (7) • Herramientas automatizadas disponibles (9) Facilidad de Descubrimiento Facilidad de Explotación Detectores de Intrusión Conciencia o Conocimiento
  • 14. Estimar el Impacto Cuando una amenaza es materializada, deben considerarse dos tipos de impacto:  Impacto Técnico.  Impacto sobre el Negocio.
  • 15. Impacto Técnico • Totalmente auditable (1) •Posiblemente auditable (7) •No auditable (9) • Mínima (servicios no críticos) (1) • Mínima (servicios críticos) (5) • Considerable (servicios no críticos) (5) • Considerable (servicios críticos) (7) • Pérdida total de los servicios (9) • Mínima (data no critica) (1) • Mínima (data critica) (3) • Considerable (data no critica) (5) • Considerable (data critica) (7) • Corrupción de datos total (9) • Mínima (data no critica) (2) • Mínima (data critica) (6) • Considerable (data no critica) (6) • Considerable (data critica) (7) • Corrupción de datos total (9) Pérdida de Confidencialidad Pérdida de Integridad Pérdida de Auditabilidad Pérdida de Disponibilidad
  • 16. Impacto en el Negocio •Una persona (3) •Cientos de personas (5) •Miles de personas (7) •Millones de personas (9) •Mínimo (2) •Medio (5) •Alto (7) •Daño mínimo (1) •Pérdida de grandes cuentas (4) •Pérdida de credibilidad a gran escala (5) •Daño total de imagen (9) • Menor que el costo de la solución total (1) • Efecto menor en el costo anual (3) • Efecto significante en el costo anual (7) • Efecto devastador (bancarrota) (9) Daño Económico Daño de Imagen Violación a la Privacidad No cumplimiento
  • 17. Determinar la Severidad del Riesgo Para determinar la severidad del riesgo, se debe trabajar con los siguientes valores:  Probabilidad de la ocurrencia de la amenaza.  Impacto generado sobre el negocio.
  • 18. Ejemplo – Cálculo de la probabilidad Variables de agentes de amenaza y Variable de factores de vulnerabilidad 8
  • 19. Ejemplo – Cálculo del Impacto Variables de Impacto técnico 4 Variables de Impacto sobre el negocio 4
  • 21. Priorizar Planes de Acción Luego de que se hayan clasificado los riesgos de la aplicación, debe desarrollarse una lista de priorización para dar solución inmediata a los riesgos identificados con prioridad ALTA.
  • 22. Personalizar el modelo de clasificación de Riesgos Es fundamental crear un modelo o marco de clasificación y de riesgos para las aplicaciones del negocio, los siguientes son puntos que deben considerarse en el modelo:  Adicionar Factores de Riesgo: define que deben identificarse factores de riesgo que sean representativos para el negocio en específico.  Personalización de Factores de Riesgo define que la personalización de los factores de riesgos es adecuada para la eficacia del mismo y permite una adecuación sobre los procesos reales del negocio.  Ponderar Factores de Riesgo: define que deben ponderarse los factores de riesgos, esto requiere de un mayor análisis pero es lo mas adecuado para lograr una clasificación y análisis detallada.