Movimientos Precursores de La Independencia en Venezuela
Análisis y Gestión de Riesgos
1.
2. Estimación del grado de exposición
de una amenaza sobre uno o más
activos causando daños o perjuicios
a la Organización.
El riesgo indica lo que le podría pasar
a los activos si no se protegieran
adecuadamente.
3. Las amenazas son eventos que pueden
producir daños materiales o inmateriales en
los activos. Las amenazas son “cosas que
ocurren”. Y, de todo lo que puede ocurrir,
interesa lo que puede pasarle a nuestros
activos y causar un daño.
Hay amenazas naturales (terremotos,
inundaciones, ...) y desastres industriales o
servicios (contaminación, fallos
eléctricos, ...) ante los cuales el sistema de
información es víctima.
También hay amenazas causadas por las
personas, bien errores o bien ataques
intencionados.
4. Las políticas de seguridad son
las prácticas, procedimientos o
mecanismos que ayudan a
reducir el riesgo.
Políticas de seguridad
5.
6. Gracias a este análisis de
riesgos conoceremos el
impacto económico de un
fallo de seguridad y la
probabilidad realista de que
este ocurra .
7. Por ejemplo, imaginemos que una organización tiene un servidor que contiene
información definida como de bajo valor.
12. El objetivo principal de este proceso es establecer el marco general de referencia
para todo el análisis. Esta etapa incluye la estimación de:
Personal técnico: Personas cuya función es recabar la información y
establecer las medidas necesarias para cumplir con el análisis.
Usuarios: Son aquellas de quienes se recogerá la información dentro
de la organización
Recursos económicos necesarios para la ejecución.
Definir los objetivos del proceso de análisis de riesgos.
Tiempo estimado para realizar el análisis y elaborar
las políticas. Podría ser con un diagrama de Gantt
13. Estimación del tiempo: debe ser realizado utilizando el
Diagrama de Gantt, definiendo el tiempo necesario que se
tomara el equipo en cada etapa o fase.
14. El entregable de esta etapa será un documento que describa a profundidad los
aspectos antes mencionados, para tal fin se ofrece un modelo como ejemplo.
Análisis y gestión de riesgos
Etapa 1: Planificación Fecha:
Objetivos:
Personal:
Técnico: Usuarios:
Programador(es):______ Gerente:_____
Entrevistador(es):______ Secretaria:____
Entre otros:_____ Docentes: ____
Recursos
15. Se denomina activos a los recursos del sistema de información o relacionados con
éste, necesarios para que la Organización funcione correctamente y alcance los
objetivos propuestos por su dirección.
Conviene repetir que sólo interesan los recursos de los sistemas de información
que tienen un valor para la Organización. A título de ejemplo, un servidor donde
se encuentre almacenada toda información es un activo de mucho valor. Todo su
valor es imputado:
• la indisponibilidad, la interrupción del servicio es el valor de disponibilidad que
se le imputará al servidor
• el acceso no controlado al servidor pone en riesgo el secreto de los datos que
presenta.
• el coste que suponga la pérdida de confidencialidad de los datos es el valor de
confidencialidad que se le imputará al servidor.
16. Quizás la mejor aproximación para identificar los activos sea preguntar
directamente:
• ¿Qué activos son fundamentales para que la organización consiga sus
objetivos?
•¿Hay más activos que se tengan que proteger por obligación ?
• ¿Hay activos relacionados con los anteriores?
No siempre es evidente identificar un activo. Si por ejemplo se tienen 300
puestos de trabajo o PC, todos idénticos a efectos de configuración y datos que
manejan, no es conveniente analizar 300 activos idénticos. Basta analizar un PC
genérico que cuya problemática representa la de todos. Agrupar simplifica el
análisis. Otras veces se presenta el caso contrario, un servidor central que se
encarga de varias funciones: servidor de archivos, de mensajería, de la intranet,
del sistema de gestión documental y ... En este caso conviene segregar los
servicios prestados y analizarlos por separado.
17. El entregable de esta etapa es la descripción de cada tipo de activo con su
respectiva , función dentro de la organización entre algunos otros aspectos que
sean importantes describir. Para ello se puede utilizar el siguiente formato:
Análisis de riesgos
Etapa 2: Identificación de activos Activo #: _____
Tipo de activo
Físico: ____ Lógico:____
Nombre:
Descripción:
18. Tipo de amenaza:
Tipos de activos: Dimensiones:
Descripción:
Tipo de activo:
Amenazas: Dimensiones:
Descripción:
19. Cuando hablamos de las dimensiones, hacemos memoria y recordamos los
principios de la seguridad de la información.
Ellas son características o atributos que hacen valioso un activo. Las
dimensiones se utilizan para valorar las consecuencias de la materialización
de una amenaza. La valoración que recibe un activo en una cierta dimensión
es la medida del perjuicio para la organización si el activo se ve dañado en
dicha dimensión. Ellas son:
Autenticidad
Confidencialidad A ellos agregamos : Trazabilidad del servicio
Integridad Trazabilidad de los datos.
Disponibilidad
20. Llevándolas a la realidad, las dimensiones en un activo, las podemos definir así:
• su autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace o ha
hecho cada cosa? Esta valoración es típica de servicios (autenticidad del usuario) y de
los datos (autenticidad de quien accede a los datos para escribir o, simplemente,
consultar)
• su confidencialidad: ¿qué daño causaría que lo conociera quien no debe? Esta
valoración es típica de datos.
• su integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto? Esta
valoración es típica de los datos, que pueden estar manipulados, ser total o
parcialmente falsos o, incluso, faltar datos.
• su disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo? Esta
valoración es típica de los servicios.
21. Ahora bien, en sistemas dedicados a la administración electrónica o al comercio
electrónico, el conocimiento de los usuarios es fundamental para poder prestar el
servicio correctamente y poder perseguir los fallos (accidentales o deliberados) que
pudieran darse. En estos activos, además de la autenticidad, interesa calibrar la:
• la trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se le
presta tal servicio? O sea, ¿quién hace qué y cuándo?
• la trazabilidad del acceso a los datos: ¿qué daño causaría no saber quién accede
a qué datos y qué hace con ellos?
22. A continuación vemos un ejemplo sobre la determinación de las amenazas:
Desastres naturales: Sucesos que pueden ocurrir sin intervención de los seres
humanos como causa directa o indirecta.
Tipo de amenaza: Fuego
Tipos de activos:
Computadoras
Redes de comunicación
Soportes de información
Equipamiento auxiliar
Instalaciones
Dimensiones:
Disponibilidad
Descripción: Incendio: Posibilidad de que el fuego acabe con
los recursos del sistema.
En el material de apoyo encontrarán ejemplos sobre las amenazas más
comunes y las dimensiones afectadas
23.
24. Amenaza: Fallas no intencionales causados por los usuarios
Tipos de activos:
Datos/información
Aplicaciones
Dimensiones:
Disponibilidad
Integridad
Riesgo :
•Pérdida de la
información.
•Modificación de
los datos a ser
procesados.
•Desconfiguración
de alguna
aplicación.
Valor: 9
Daño grave para la
organización, ya
que implica
pérdida de
datos/información
importantes para
la organización.
Descripción: Equivocaciones de las personas cuando usan los servicios, datos, etc.
Estimación de los riesgos:
25. En el material de apoyo se describe la escala y los
criterios los criterios asociados.
26. Valor Criterio
10 Muy alto Daño muy grave a la organización
7-9 alto Daño grave
4-6 medio Daño importante
1-3 bajo Daño menor
0 despreciable irrelevante
Escala de valoración de riesgos:
27. El análisis de los riesgos es un paso importante para implementar la
seguridad de la información.
Se realiza para detectar los riesgos a los cuales están sometidos los
activos en una organización, para saber cuál es la probabilidad de que
una amenaza se concrete.
La relación que existe entre la amenaza y el valor del riesgo, es la
condición principal a tomar en cuenta en el momento de priorizar
acciones de seguridad para la corrección de los activos que se
desean proteger y deben ser siempre considerados cuando se
realiza un análisis de riesgos.
28. A continuación se les hará entrega de un material,
contentivo de casos de estudios con el objetivo de que
sea analizados y se realicen algunas reflexiones.