SlideShare una empresa de Scribd logo

Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1

Jack Daniel Cáceres Meza
Jack Daniel Cáceres Meza

Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1. Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).

1 de 29
Control de Acceso y Seguridad Desarrollo Ingeniería de Sistemas y Seguridad Informática Mg. Ing. Jack Daniel Cáceres Meza, PMP Sesión 02 Análisis de riesgos
2 Mg, Ing. Jack Daniel Cáceres Meza, PMP Introducción La empresa Atoland S.A., empresa que se dedica al sector financiero, específicamente a otorgar préstamos al consumo, ha sufrido un marcado crecimiento en los último años. De acuerdo a lo expresado por la gerencia, este crecimiento explosivo ha generado que la función TI de la empresa fuese adaptándose al crecimiento del negocio de manera adaptativa y no planificada, lo cual les genera miedos a los gerentes respecto a la manera en la cual se está operando. Para contar con una perfecta descripción de la situación actual y sus implicancias, han decidido contratar a una empresa consultora para que releve y evalúe cómo está operando y se está gestionando la función TI. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/CASO_%20DE_%20RIESGO_%20INFORMaTICO.pdf
3 Mg, Ing. Jack Daniel Cáceres Meza, PMP Introducción Vídeo Riesgos de la Informática (https://www.youtube.com/watch?v=RZJjzl4VlUw)
4 Mg, Ing. Jack Daniel Cáceres Meza, PMP
5 Mg, Ing. Jack Daniel Cáceres Meza, PMP Análisis del riesgo  Uso sistemático de información para identificar amenazas y estimar el riesgo [ISO/IEC Guide 73:2002]
6 Mg, Ing. Jack Daniel Cáceres Meza, PMP Análisis de riesgos: Es el estudio de las posibles amenazas y vulnerabilidades a los que están expuesto los recursos y servicios que ofrece TI a la Organización y que permita estimar la magnitud de los impactos que pueda ocasionar a la Organización en caso de producirse los riesgos. ¿Qué es el Análisis de Riesgos de TI? Un análisis de riesgos no es una tarea menor que realiza cualquiera en sus ratos libres. Es una tarea mayor que requiere esfuerzo y coordinación. Por tanto debe ser planificada y justificada.
7 Mg, Ing. Jack Daniel Cáceres Meza, PMP Objetivos de un Análisis de Riesgos • Identificación de las amenazas potenciales a los activos de información que afectan la confidencialidad, integridad y disponibilidad de la información. Es la identificación de las amenazas y vulnerabilidades a los que están expuestos los activos de información que puedan generar un riesgo en TI y en la Organización Identificación de todos los riesgos a los que están expuesto los activos de información. Identificación y aplicación de parámetros y métricas para el análisis de riesgo
8 Mg, Ing. Jack Daniel Cáceres Meza, PMP Dominio 03: Administración de Activos/Gestión de Activos  3.1. Responsabilidad sobre los activos  3.2. Clasificación de la información  Según Metodología Magerit
9 Mg, Ing. Jack Daniel Cáceres Meza, PMP Dominio 03: Administración de Activos/Gestión de Activos 3.1. Responsabilidad sobre los activos Objetivo.- Lograr y mantener una protección adecuada de los activos de la Organización Sub-objetivos: 3.1.1. Inventario de activos. 3.1.2. Responsable de los activos. 3.1.3. Acuerdos sobre el uso aceptable de los activos.
10 Mg, Ing. Jack Daniel Cáceres Meza, PMP Dominio 03: Administración de Activos/Gestión de Activos 3.2 Clasificación de la información Objetivo.- Asegurar que la información reciba un nivel de protección apropiada Sub-objetivos: 3.2.1. Directrices de clasificación. 3.2.2. Marcado y tratamiento de la información.
11 Mg, Ing. Jack Daniel Cáceres Meza, PMP Ejemplo 01 El Personal de Seguridad de Información en cumplimiento al desarrollo de un SGSI, deberá formular respecto al Dominio 03: “Administración de Activos/Gestión de Activos” lo necesario para cumplir el objetivo general y específicos de: “03.1 Responsabilidad sobre los activos” ¿consideraciones?: ………………………. ………………………. ………………………. Tiempo Máximo: 20 Min.
12 Mg, Ing. Jack Daniel Cáceres Meza, PMP Ejemplo 02 El Personal de Seguridad de Información en cumplimiento al desarrollo de un SGSI, deberá formular respecto al Dominio 03: “Administración de Activos/Gestión de Activos” lo necesario para cumplir el objetivo general y específicos de: “03.2 Clasificación de la información” ¿consideraciones?: ………………………. ………………………. ………………………. Tiempo Máximo: 20 Min.
13 Mg, Ing. Jack Daniel Cáceres Meza, PMP Activo de Información Amenaza 01 Amenaza 02 Amenaza ‘n’ Un activo de información o ACTIVO se refiere a cualquier información o sistema relacionado que tenga valor para la organización y que tiene un conjunto de amenazas, que es importante identificar y clasificar en un análisis de riesgo . . .
¿Qué es una amenaza?  Amenaza.- (Inglés: Threat).  Persona o cosa que representa un peligro.  Según la ISO/IEC 13335- 1:2004: causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización.
15 Mg, Ing. Jack Daniel Cáceres Meza, PMP Ejemplo de Amenazas: Activo Amenaza Servidor de Dominio de Red Deje de operar Baja el rendimiento del servidor Acceso de personal no autorizado
16 Mg, Ing. Jack Daniel Cáceres Meza, PMP Activo de Información Amenaza 01 Un activo puede tener un conjunto de amenazas producto de la ejecución de una o varias vulnerabilidades Amenaza 02 Amenaza 03 Amenaza ‘n’ Vulnerabilidad 01 Vulnerabilidad 02 Vulnerabilidad 04 Vulnerabilidad 03 Vulnerabilidad ´n´ . . . . . .
¿Qué es una vulnerabilidad?  Vulnerabilidad.- (Inglés: Vulnerability).  Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo.  Según la ISO/IEC 13335- 1:2004: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza.
18 Mg, Ing. Jack Daniel Cáceres Meza, PMP Ejemplo: Activo-Amenaza-Vulnerabilidad Activo Amenaza Vulnerabilidades Servidor de Dominio de Red Deje de operar • Instalación de actualizaciones sin el debido testing • Carencia de mantenimiento • Falta de renovación del hardware • Carencia o documentación incompleta • Instalación de servicios adicionales Baja el rendimiento del servidor • Carencia de mantenimiento • Ambiente inadecuado para su operatividad • Instalación de servicios adicionales Acceso de personal no autorizado • Falta/inadecuado control de acceso físico
19 Mg, Ing. Jack Daniel Cáceres Meza, PMP ¿Qué es una probabilidad?  La probabilidad mide la frecuencia con la que se obtiene un resultado (o conjunto de resultados) al llevar a cabo un experimento aleatorio, del que se conocen todos los resultados posibles, bajo condiciones suficientemente estables.
20 Mg, Ing. Jack Daniel Cáceres Meza, PMP Ejemplo: Activo Amenaza Vulnerabilidades Probabilidad Servidor de Dominio de Red Deje de operar • Instalación de actualizaciones sin el debido testing • Carencia de mantenimiento • Falta de renovación del hardware • Carencia o documentación incompleta • Instalación de servicios adicionales • Muy Alta • Baja • Muy Baja • Alta • Media Baja el rendimiento del servidor • Carencia de mantenimiento • Ambiente inadecuado para su operatividad • Instalación de servicios adicionales • Alta • Media • Muy Alta Acceso de personal no autorizado • Falta/inadecuado control de acceso físico • Alta
21 Mg, Ing. Jack Daniel Cáceres Meza, PMP ¿Qué es un impacto? Impacto: medida o grado del daño sobre un activo producto de la materialización de una amenaza.
22 Mg, Ing. Jack Daniel Cáceres Meza, PMP Activo Amenaza Vulnerabilidades Probabil idad Impacto Detalle Impacto Servidor de Dominio de Red Deje de operar • Instalación de actualizaciones sin el debido testing • Carencia de mantenimiento • Falta de renovación del hardware • Carencia o documentación incompleta • Instalación de servicios adicionales • Muy Alta • Baja • Muy Baja • Alta • Media • Alto • Impacto 1 Baja el rendimiento del servidor • Carencia de mantenimiento • Ambiente inadecuado para su operatividad • Instalación de servicios adicionales • Alta • Media • Muy Alta • Medio • Impacto 2 Acceso de personal no autorizado • Falta/inadecuado control de acceso físico • Alta • Bajo • Impacto 3
23 Mg, Ing. Jack Daniel Cáceres Meza, PMP Impacto – Análisis CID El impacto es la materialización valorada cualitativa o cuantitativa de una amenaza –o más de una, que afecta las actividades/procesos del negocio principalmente en los siguientes principios: Detalle del Impacto C I D Impacto 1 2 3 5 Impacto 2 4 5 3 Impacto 3 - 3 1 -C = Confidencialidad -I = Integridad -D = Disponibilidad
24 Mg, Ing. Jack Daniel Cáceres Meza, PMP CID  ISO/IEC 13335-1:2004  Confidencialidad: garantizar que la información sea accesible únicamente para quienes tengan [cuenten con] acceso autorizado.  Integridad: salvaguardar la exactitud e integridad de la información y activos asociados.  Disponibilidad: garantizar que los usuarios autorizados tengan acceso a la información y activos asociados cuando sea necesario.
25 Mg, Ing. Jack Daniel Cáceres Meza, PMP Activo Vulnerabilidades Probabilidad Amenaza Impacto C I D Servidor de Dominio de Red Instalación de actualizaciones sin la debida certificación/pruebas Muy Alta (10) A1 I1 (MA) - 2 5 Carencia de mantenimiento Alta (08) Muy Alto (MA) Falta de renovación del hardware Media (05) Alto (A) Ambiente inadecuado para su operatividad Baja (03) Medio (M) Instalación de servicios adicionales Muy Baja (01) Bajo (B) Carencia o documentación incompleta Alta (08) Muy Bajo (MB) Ejemplo: Análisis CID
26 Mg, Ing. Jack Daniel Cáceres Meza, PMP Metodologías para el Desarrollo de Análisis y Gestión de Riesgos  OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) gratuita  MAGERIT, es gratuita y se encuentra disponible en español  ISO/IEC 27005  MEHARIT, desarrollada por CLUSIF (Club de la Sécurité de l’Information Français). Es gratuita  THE SECURITY RISK Management Guide de Microsoft, en inglés y gratuita  NIST SP 800-30 “RISK MANAGEMENT GUIDE FOR INFORMATION TECHNOLOGY SYSTEMS”  Otras
27 Mg, Ing. Jack Daniel Cáceres Meza, PMP Herramientas para Análisis y Gestión de Riesgos  EAR/PILAR (www.ar-tools.com/pilar). Gratuitas  CCTA Risk Analysis and Method Management (CRAMM)  Mehari, desarrollada por CLUSIF (Club de la Sécurité de l’Information Français). Es gratuita y se encuentra disponible en varios idiomas  Desarrollada en español y gratuita  The Security Risk Management Guide de Microsoft, en inglés y gratuita  COBRA, con costo y en inglés  Callio, con costo y en inglés  MARION, Méthodologie d'Analyse des Risques Informatiques et d'Optimisation par Niveau, desarrollada en Francia por el Club de la Sécurité Informatique Français (CLUSIF).  ISAMM, Information Security Assessment & Monitoring Method, desarrollada en Bélgica por Telindus N.V.  IT-Grundschutz, desarrollada por la Bundesamt für Sicherheit in der Informationstechnik (Oficina Federal para la Seguridad de la Información) de Alemania.
28 Mg, Ing. Jack Daniel Cáceres Meza, PMP Acciones a Realizar en un Análisis de Riesgos  Determinar el alcance del análisis de riesgo de TI  Identificar todos los activos de información de la Organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación)  Identificar las principales amenazas de los activos de información  Identificar las principales vulnerabilidades que pueden generar las amenazas de cada activo de información  Identificar la probabilidad que tienen cada una de las vulnerabilidades identificadas.  Estimar (con los elementos anteriores):  El impacto: lo que podría pasar y el análisis CID  El riesgo: lo que probablemente pase  Desarrollar la Matriz de Riesgo  Interpretar la matriz de riesgo, brindar conclusiones y recomendaciones
Mg. Ing. Jack Daniel Cáceres Meza, PMP jack_caceres@hotmail.com Gracias por su atención ¿Preguntas?

Recomendados

Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
Leo Gomez
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad Informatica
Yamileth Miguel
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Carlos Luque, CISA
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
Abby Ramirez
 
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auoEquipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Jhon Jairo Hernandez
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 
Integridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosIntegridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De Datos
Drakonis11
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
marojaspe
 

Recomendados

Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
Leo Gomez
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad Informatica
Yamileth Miguel
 
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Modelo de Análisis de Riesgos en Ciberseguridad (ISACA Madrid)
Carlos Luque, CISA
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
Abby Ramirez
 
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auoEquipos de respuesta a incidentes csirt cert clase_tres_auo
Equipos de respuesta a incidentes csirt cert clase_tres_auo
Jhon Jairo Hernandez
 
Norma ISO 27000
Norma ISO 27000Norma ISO 27000
Norma ISO 27000
UPTAEB
 
Integridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De DatosIntegridad Y Seguridad En Las Bases De Datos
Integridad Y Seguridad En Las Bases De Datos
Drakonis11
 
Curso ai iso 27001
Curso ai iso 27001Curso ai iso 27001
Curso ai iso 27001
marojaspe
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
Maricarmen García de Ureña
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
VladimirMC
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
Tensor
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
Juan Carlos Gonzalez
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
simondavila
 
Ciberseguridad en empresas
Ciberseguridad en empresasCiberseguridad en empresas
Ciberseguridad en empresas
Pedro De La Torre Rodríguez
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
Jose Manuel Acosta
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de Negocio
David Solis
 
Firewalls
FirewallsFirewalls
Firewalls
Eugenia Nuñez
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
Freddy Fernando Cajamarca Sarmiento
 
Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad Informática
DarbyPC
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
Cecilia Hernandez
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgos
daylisyfran
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informática
Carolina Cols
 
Plan de continuidad
Plan de continuidadPlan de continuidad
Plan de continuidad
Leonardo Lenin Banegas Barahona
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
ROBERTH CHAVEZ
 
La Auditoría Física
La Auditoría FísicaLa Auditoría Física
La Auditoría Física
Carlos R. Adames B.
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
oamz
 
BATbern48_How Zero Trust can help your organisation keep safe.pdf
BATbern48_How Zero Trust can help your organisation keep safe.pdfBATbern48_How Zero Trust can help your organisation keep safe.pdf
BATbern48_How Zero Trust can help your organisation keep safe.pdf
BATbern
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
Andres Soto Suarez
 
Gestion de riesgos 23 septiembre de 2012
Gestion de riesgos 23 septiembre de 2012Gestion de riesgos 23 septiembre de 2012
Gestion de riesgos 23 septiembre de 2012
Johana201225
 
Informe 02 junio al 01 julio
Informe 02 junio al 01 julioInforme 02 junio al 01 julio
Informe 02 junio al 01 julio
Johana201225
 

Más contenido relacionado

La actualidad más candente

Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
VladimirMC
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
simondavila
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgos
daylisyfran
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informática
Carolina Cols
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
ROBERTH CHAVEZ
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
oamz
 

La actualidad más candente (20)

Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
 
Iso 27001 iso 27002
Iso 27001 iso 27002Iso 27001 iso 27002
Iso 27001 iso 27002
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
 
Ciberseguridad en empresas
Ciberseguridad en empresasCiberseguridad en empresas
Ciberseguridad en empresas
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de Negocio
 
Firewalls
FirewallsFirewalls
Firewalls
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad Informática
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgos
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informática
 
Plan de continuidad
Plan de continuidadPlan de continuidad
Plan de continuidad
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
 
La Auditoría Física
La Auditoría FísicaLa Auditoría Física
La Auditoría Física
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
 
BATbern48_How Zero Trust can help your organisation keep safe.pdf
BATbern48_How Zero Trust can help your organisation keep safe.pdfBATbern48_How Zero Trust can help your organisation keep safe.pdf
BATbern48_How Zero Trust can help your organisation keep safe.pdf
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
 

Destacado

Gestion de riesgos 23 septiembre de 2012
Gestion de riesgos 23 septiembre de 2012Gestion de riesgos 23 septiembre de 2012
Gestion de riesgos 23 septiembre de 2012
Johana201225
 
Informe 02 junio al 01 julio
Informe 02 junio al 01 julioInforme 02 junio al 01 julio
Informe 02 junio al 01 julio
Johana201225
 
02 gestion del riesgo
02 gestion del riesgo02 gestion del riesgo
02 gestion del riesgo
oscareo79
 
Deberes y derechos de los trabajadores en el sgrl
Deberes y derechos de los trabajadores en el sgrlDeberes y derechos de los trabajadores en el sgrl
Deberes y derechos de los trabajadores en el sgrl
gcgestionhumana
 

Destacado (20)

Gestion de riesgos 23 septiembre de 2012
Gestion de riesgos 23 septiembre de 2012Gestion de riesgos 23 septiembre de 2012
Gestion de riesgos 23 septiembre de 2012
 
Informe 02 junio al 01 julio
Informe 02 junio al 01 julioInforme 02 junio al 01 julio
Informe 02 junio al 01 julio
 
02 gestion del riesgo
02 gestion del riesgo02 gestion del riesgo
02 gestion del riesgo
 
3 actualizacion legal riesgos laborales 2015
3 actualizacion legal riesgos laborales 20153 actualizacion legal riesgos laborales 2015
3 actualizacion legal riesgos laborales 2015
 
Deberes y derechos de los trabajadores en el sgrl
Deberes y derechos de los trabajadores en el sgrlDeberes y derechos de los trabajadores en el sgrl
Deberes y derechos de los trabajadores en el sgrl
 
Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...
Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...
Curso: Seguridad de redes e Internet: 14 Herramientas y soluciones de segurid...
 
Curso: Comunicación de datos y redes: 03 Comunicación de datos y telefonía co...
Curso: Comunicación de datos y redes: 03 Comunicación de datos y telefonía co...Curso: Comunicación de datos y redes: 03 Comunicación de datos y telefonía co...
Curso: Comunicación de datos y redes: 03 Comunicación de datos y telefonía co...
 
Curso: Seguridad de redes e Internet: 02 Introducción a la seguridad en una r...
Curso: Seguridad de redes e Internet: 02 Introducción a la seguridad en una r...Curso: Seguridad de redes e Internet: 02 Introducción a la seguridad en una r...
Curso: Seguridad de redes e Internet: 02 Introducción a la seguridad en una r...
 
Costo total de propiedad -TCO
Costo total de propiedad -TCOCosto total de propiedad -TCO
Costo total de propiedad -TCO
 
Curso: Planeamiento estratégico (administración): 03 Prospectiva (básica)
Curso: Planeamiento estratégico (administración): 03 Prospectiva (básica)Curso: Planeamiento estratégico (administración): 03 Prospectiva (básica)
Curso: Planeamiento estratégico (administración): 03 Prospectiva (básica)
 
Curso: Control de acceso y seguridad: 14 Herramientas y soluciones modernas e...
Curso: Control de acceso y seguridad: 14 Herramientas y soluciones modernas e...Curso: Control de acceso y seguridad: 14 Herramientas y soluciones modernas e...
Curso: Control de acceso y seguridad: 14 Herramientas y soluciones modernas e...
 
Curso: Redes y comunicaciones I: 08 Administración de redes
Curso: Redes y comunicaciones I: 08 Administración de redesCurso: Redes y comunicaciones I: 08 Administración de redes
Curso: Redes y comunicaciones I: 08 Administración de redes
 
Curso: Proyecto de sistemas de comunicación: 02 Acuerdo de nivel de servicio
Curso: Proyecto de sistemas de comunicación: 02 Acuerdo de nivel de servicioCurso: Proyecto de sistemas de comunicación: 02 Acuerdo de nivel de servicio
Curso: Proyecto de sistemas de comunicación: 02 Acuerdo de nivel de servicio
 
Curso: Administración de proyectos informáticos: 02 Sistemas de información
Curso: Administración de proyectos informáticos: 02 Sistemas de informaciónCurso: Administración de proyectos informáticos: 02 Sistemas de información
Curso: Administración de proyectos informáticos: 02 Sistemas de información
 
Rolman calderin malaver
Rolman calderin malaverRolman calderin malaver
Rolman calderin malaver
 
Curso: Comunicación de datos y redes: 10 Redes de área amplia
Curso: Comunicación de datos y redes: 10 Redes de área ampliaCurso: Comunicación de datos y redes: 10 Redes de área amplia
Curso: Comunicación de datos y redes: 10 Redes de área amplia
 
Curso: Control de acceso y seguridad:11 Controles de monitoreo
Curso: Control de acceso y seguridad:11 Controles de monitoreoCurso: Control de acceso y seguridad:11 Controles de monitoreo
Curso: Control de acceso y seguridad:11 Controles de monitoreo
 
Curso: Planeamiento estratégico (administración): 01 Introducción
Curso: Planeamiento estratégico (administración): 01 IntroducciónCurso: Planeamiento estratégico (administración): 01 Introducción
Curso: Planeamiento estratégico (administración): 01 Introducción
 
Curso: Redes y comunicaciones básicas: 01 Introducción
Curso: Redes y comunicaciones básicas: 01 IntroducciónCurso: Redes y comunicaciones básicas: 01 Introducción
Curso: Redes y comunicaciones básicas: 01 Introducción
 
Curso: Administración de proyectos informáticos: 06 Gestión de proyectos
Curso: Administración de proyectos informáticos: 06 Gestión de proyectosCurso: Administración de proyectos informáticos: 06 Gestión de proyectos
Curso: Administración de proyectos informáticos: 06 Gestión de proyectos
 

Similar a Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1

Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4
rodrigonix
 

Similar a Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1 (20)

Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
 
Curso: Introducción a la seguridad informática: 02 Riesgos
Curso: Introducción a la seguridad informática: 02 RiesgosCurso: Introducción a la seguridad informática: 02 Riesgos
Curso: Introducción a la seguridad informática: 02 Riesgos
 
Curso: Auditoría de sistemas: 02 Plan de trabajo
Curso: Auditoría de sistemas: 02 Plan de trabajoCurso: Auditoría de sistemas: 02 Plan de trabajo
Curso: Auditoría de sistemas: 02 Plan de trabajo
 
segunda-sesion.pptx
segunda-sesion.pptxsegunda-sesion.pptx
segunda-sesion.pptx
 
Análisis de riesgos
Análisis de riesgosAnálisis de riesgos
Análisis de riesgos
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
 
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
Curso: Control de acceso y seguridad: 09 Controles que son apropiados de apli...
 
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WANCurso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
Curso: Redes y telecomunicaciones: 14 Seguridad en la LAN/WAN
 
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
 
Curso: Redes y comunicaciones II: 03 Seguridad y criptografía
Curso: Redes y comunicaciones II: 03 Seguridad y criptografíaCurso: Redes y comunicaciones II: 03 Seguridad y criptografía
Curso: Redes y comunicaciones II: 03 Seguridad y criptografía
 
Monografia gestion de seguridad en redes
Monografia gestion de seguridad en redesMonografia gestion de seguridad en redes
Monografia gestion de seguridad en redes
 
Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4
 
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
 
Estructura auditoria cobit
Estructura auditoria cobitEstructura auditoria cobit
Estructura auditoria cobit
 
Dti auditoria de sistemas
Dti auditoria de sistemasDti auditoria de sistemas
Dti auditoria de sistemas
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
 
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOCStay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
Stay ahead of the Threats: Automate and Simplify SecOps to revolutionize the SOC
 
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdfSERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
 
Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4
 
Cómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la InformaciónCómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la Información
 

Más de Jack Daniel Cáceres Meza

Más de Jack Daniel Cáceres Meza (20)

Itil® osa capability model
Itil® osa capability modelItil® osa capability model
Itil® osa capability model
 
Itil® osa capability model
Itil® osa capability modelItil® osa capability model
Itil® osa capability model
 
Cobit(R) 5 Fundamentos
Cobit(R) 5 FundamentosCobit(R) 5 Fundamentos
Cobit(R) 5 Fundamentos
 
ITIL® SLC Fundamentos
ITIL® SLC FundamentosITIL® SLC Fundamentos
ITIL® SLC Fundamentos
 
Ciclo de vida de un servicio de TI
Ciclo de vida de un servicio de TICiclo de vida de un servicio de TI
Ciclo de vida de un servicio de TI
 
MINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFINMINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFIN
 
Producto alcance política-v2
Producto alcance política-v2Producto alcance política-v2
Producto alcance política-v2
 
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
 
Curso: Unixware
Curso: UnixwareCurso: Unixware
Curso: Unixware
 
UPC - Soporte: Caracterización de soporte
UPC - Soporte: Caracterización de soporteUPC - Soporte: Caracterización de soporte
UPC - Soporte: Caracterización de soporte
 
UPC - Soporte Norma Pases a producción
UPC - Soporte Norma Pases a producciónUPC - Soporte Norma Pases a producción
UPC - Soporte Norma Pases a producción
 
UPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreoUPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreo
 
UPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposUPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equipos
 
UPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuariosUPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuarios
 
UPC-Soporte: Norma Mantenimiento de equipos
UPC-Soporte: Norma Mantenimiento de equiposUPC-Soporte: Norma Mantenimiento de equipos
UPC-Soporte: Norma Mantenimiento de equipos
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de información
 
Esan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -pptEsan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -ppt
 
Esan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informeEsan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informe
 
OFIN-AIT: Norma Colaboradores
OFIN-AIT: Norma ColaboradoresOFIN-AIT: Norma Colaboradores
OFIN-AIT: Norma Colaboradores
 
OFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto softwareOFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto software
 

Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1

  • 1. Control de Acceso y Seguridad Desarrollo Ingeniería de Sistemas y Seguridad Informática Mg. Ing. Jack Daniel Cáceres Meza, PMP Sesión 02 Análisis de riesgos
  • 2. 2 Mg, Ing. Jack Daniel Cáceres Meza, PMP Introducción La empresa Atoland S.A., empresa que se dedica al sector financiero, específicamente a otorgar préstamos al consumo, ha sufrido un marcado crecimiento en los último años. De acuerdo a lo expresado por la gerencia, este crecimiento explosivo ha generado que la función TI de la empresa fuese adaptándose al crecimiento del negocio de manera adaptativa y no planificada, lo cual les genera miedos a los gerentes respecto a la manera en la cual se está operando. Para contar con una perfecta descripción de la situación actual y sus implicancias, han decidido contratar a una empresa consultora para que releve y evalúe cómo está operando y se está gestionando la función TI. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/CASO_%20DE_%20RIESGO_%20INFORMaTICO.pdf
  • 3. 3 Mg, Ing. Jack Daniel Cáceres Meza, PMP Introducción Vídeo Riesgos de la Informática (https://www.youtube.com/watch?v=RZJjzl4VlUw)
  • 4. 4 Mg, Ing. Jack Daniel Cáceres Meza, PMP
  • 5. 5 Mg, Ing. Jack Daniel Cáceres Meza, PMP Análisis del riesgo  Uso sistemático de información para identificar amenazas y estimar el riesgo [ISO/IEC Guide 73:2002]
  • 6. 6 Mg, Ing. Jack Daniel Cáceres Meza, PMP Análisis de riesgos: Es el estudio de las posibles amenazas y vulnerabilidades a los que están expuesto los recursos y servicios que ofrece TI a la Organización y que permita estimar la magnitud de los impactos que pueda ocasionar a la Organización en caso de producirse los riesgos. ¿Qué es el Análisis de Riesgos de TI? Un análisis de riesgos no es una tarea menor que realiza cualquiera en sus ratos libres. Es una tarea mayor que requiere esfuerzo y coordinación. Por tanto debe ser planificada y justificada.
  • 7. 7 Mg, Ing. Jack Daniel Cáceres Meza, PMP Objetivos de un Análisis de Riesgos • Identificación de las amenazas potenciales a los activos de información que afectan la confidencialidad, integridad y disponibilidad de la información. Es la identificación de las amenazas y vulnerabilidades a los que están expuestos los activos de información que puedan generar un riesgo en TI y en la Organización Identificación de todos los riesgos a los que están expuesto los activos de información. Identificación y aplicación de parámetros y métricas para el análisis de riesgo
  • 8. 8 Mg, Ing. Jack Daniel Cáceres Meza, PMP Dominio 03: Administración de Activos/Gestión de Activos  3.1. Responsabilidad sobre los activos  3.2. Clasificación de la información  Según Metodología Magerit
  • 9. 9 Mg, Ing. Jack Daniel Cáceres Meza, PMP Dominio 03: Administración de Activos/Gestión de Activos 3.1. Responsabilidad sobre los activos Objetivo.- Lograr y mantener una protección adecuada de los activos de la Organización Sub-objetivos: 3.1.1. Inventario de activos. 3.1.2. Responsable de los activos. 3.1.3. Acuerdos sobre el uso aceptable de los activos.
  • 10. 10 Mg, Ing. Jack Daniel Cáceres Meza, PMP Dominio 03: Administración de Activos/Gestión de Activos 3.2 Clasificación de la información Objetivo.- Asegurar que la información reciba un nivel de protección apropiada Sub-objetivos: 3.2.1. Directrices de clasificación. 3.2.2. Marcado y tratamiento de la información.
  • 11. 11 Mg, Ing. Jack Daniel Cáceres Meza, PMP Ejemplo 01 El Personal de Seguridad de Información en cumplimiento al desarrollo de un SGSI, deberá formular respecto al Dominio 03: “Administración de Activos/Gestión de Activos” lo necesario para cumplir el objetivo general y específicos de: “03.1 Responsabilidad sobre los activos” ¿consideraciones?: ………………………. ………………………. ………………………. Tiempo Máximo: 20 Min.
  • 12. 12 Mg, Ing. Jack Daniel Cáceres Meza, PMP Ejemplo 02 El Personal de Seguridad de Información en cumplimiento al desarrollo de un SGSI, deberá formular respecto al Dominio 03: “Administración de Activos/Gestión de Activos” lo necesario para cumplir el objetivo general y específicos de: “03.2 Clasificación de la información” ¿consideraciones?: ………………………. ………………………. ………………………. Tiempo Máximo: 20 Min.
  • 13. 13 Mg, Ing. Jack Daniel Cáceres Meza, PMP Activo de Información Amenaza 01 Amenaza 02 Amenaza ‘n’ Un activo de información o ACTIVO se refiere a cualquier información o sistema relacionado que tenga valor para la organización y que tiene un conjunto de amenazas, que es importante identificar y clasificar en un análisis de riesgo . . .
  • 14. ¿Qué es una amenaza?  Amenaza.- (Inglés: Threat).  Persona o cosa que representa un peligro.  Según la ISO/IEC 13335- 1:2004: causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización.
  • 15. 15 Mg, Ing. Jack Daniel Cáceres Meza, PMP Ejemplo de Amenazas: Activo Amenaza Servidor de Dominio de Red Deje de operar Baja el rendimiento del servidor Acceso de personal no autorizado
  • 16. 16 Mg, Ing. Jack Daniel Cáceres Meza, PMP Activo de Información Amenaza 01 Un activo puede tener un conjunto de amenazas producto de la ejecución de una o varias vulnerabilidades Amenaza 02 Amenaza 03 Amenaza ‘n’ Vulnerabilidad 01 Vulnerabilidad 02 Vulnerabilidad 04 Vulnerabilidad 03 Vulnerabilidad ´n´ . . . . . .
  • 17. ¿Qué es una vulnerabilidad?  Vulnerabilidad.- (Inglés: Vulnerability).  Debilidad en la seguridad de la información de una organización que potencialmente permite que una amenaza afecte a un activo.  Según la ISO/IEC 13335- 1:2004: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza.
  • 18. 18 Mg, Ing. Jack Daniel Cáceres Meza, PMP Ejemplo: Activo-Amenaza-Vulnerabilidad Activo Amenaza Vulnerabilidades Servidor de Dominio de Red Deje de operar • Instalación de actualizaciones sin el debido testing • Carencia de mantenimiento • Falta de renovación del hardware • Carencia o documentación incompleta • Instalación de servicios adicionales Baja el rendimiento del servidor • Carencia de mantenimiento • Ambiente inadecuado para su operatividad • Instalación de servicios adicionales Acceso de personal no autorizado • Falta/inadecuado control de acceso físico
  • 19. 19 Mg, Ing. Jack Daniel Cáceres Meza, PMP ¿Qué es una probabilidad?  La probabilidad mide la frecuencia con la que se obtiene un resultado (o conjunto de resultados) al llevar a cabo un experimento aleatorio, del que se conocen todos los resultados posibles, bajo condiciones suficientemente estables.
  • 20. 20 Mg, Ing. Jack Daniel Cáceres Meza, PMP Ejemplo: Activo Amenaza Vulnerabilidades Probabilidad Servidor de Dominio de Red Deje de operar • Instalación de actualizaciones sin el debido testing • Carencia de mantenimiento • Falta de renovación del hardware • Carencia o documentación incompleta • Instalación de servicios adicionales • Muy Alta • Baja • Muy Baja • Alta • Media Baja el rendimiento del servidor • Carencia de mantenimiento • Ambiente inadecuado para su operatividad • Instalación de servicios adicionales • Alta • Media • Muy Alta Acceso de personal no autorizado • Falta/inadecuado control de acceso físico • Alta
  • 21. 21 Mg, Ing. Jack Daniel Cáceres Meza, PMP ¿Qué es un impacto? Impacto: medida o grado del daño sobre un activo producto de la materialización de una amenaza.
  • 22. 22 Mg, Ing. Jack Daniel Cáceres Meza, PMP Activo Amenaza Vulnerabilidades Probabil idad Impacto Detalle Impacto Servidor de Dominio de Red Deje de operar • Instalación de actualizaciones sin el debido testing • Carencia de mantenimiento • Falta de renovación del hardware • Carencia o documentación incompleta • Instalación de servicios adicionales • Muy Alta • Baja • Muy Baja • Alta • Media • Alto • Impacto 1 Baja el rendimiento del servidor • Carencia de mantenimiento • Ambiente inadecuado para su operatividad • Instalación de servicios adicionales • Alta • Media • Muy Alta • Medio • Impacto 2 Acceso de personal no autorizado • Falta/inadecuado control de acceso físico • Alta • Bajo • Impacto 3
  • 23. 23 Mg, Ing. Jack Daniel Cáceres Meza, PMP Impacto – Análisis CID El impacto es la materialización valorada cualitativa o cuantitativa de una amenaza –o más de una, que afecta las actividades/procesos del negocio principalmente en los siguientes principios: Detalle del Impacto C I D Impacto 1 2 3 5 Impacto 2 4 5 3 Impacto 3 - 3 1 -C = Confidencialidad -I = Integridad -D = Disponibilidad
  • 24. 24 Mg, Ing. Jack Daniel Cáceres Meza, PMP CID  ISO/IEC 13335-1:2004  Confidencialidad: garantizar que la información sea accesible únicamente para quienes tengan [cuenten con] acceso autorizado.  Integridad: salvaguardar la exactitud e integridad de la información y activos asociados.  Disponibilidad: garantizar que los usuarios autorizados tengan acceso a la información y activos asociados cuando sea necesario.
  • 25. 25 Mg, Ing. Jack Daniel Cáceres Meza, PMP Activo Vulnerabilidades Probabilidad Amenaza Impacto C I D Servidor de Dominio de Red Instalación de actualizaciones sin la debida certificación/pruebas Muy Alta (10) A1 I1 (MA) - 2 5 Carencia de mantenimiento Alta (08) Muy Alto (MA) Falta de renovación del hardware Media (05) Alto (A) Ambiente inadecuado para su operatividad Baja (03) Medio (M) Instalación de servicios adicionales Muy Baja (01) Bajo (B) Carencia o documentación incompleta Alta (08) Muy Bajo (MB) Ejemplo: Análisis CID
  • 26. 26 Mg, Ing. Jack Daniel Cáceres Meza, PMP Metodologías para el Desarrollo de Análisis y Gestión de Riesgos  OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) gratuita  MAGERIT, es gratuita y se encuentra disponible en español  ISO/IEC 27005  MEHARIT, desarrollada por CLUSIF (Club de la Sécurité de l’Information Français). Es gratuita  THE SECURITY RISK Management Guide de Microsoft, en inglés y gratuita  NIST SP 800-30 “RISK MANAGEMENT GUIDE FOR INFORMATION TECHNOLOGY SYSTEMS”  Otras
  • 27. 27 Mg, Ing. Jack Daniel Cáceres Meza, PMP Herramientas para Análisis y Gestión de Riesgos  EAR/PILAR (www.ar-tools.com/pilar). Gratuitas  CCTA Risk Analysis and Method Management (CRAMM)  Mehari, desarrollada por CLUSIF (Club de la Sécurité de l’Information Français). Es gratuita y se encuentra disponible en varios idiomas  Desarrollada en español y gratuita  The Security Risk Management Guide de Microsoft, en inglés y gratuita  COBRA, con costo y en inglés  Callio, con costo y en inglés  MARION, Méthodologie d'Analyse des Risques Informatiques et d'Optimisation par Niveau, desarrollada en Francia por el Club de la Sécurité Informatique Français (CLUSIF).  ISAMM, Information Security Assessment & Monitoring Method, desarrollada en Bélgica por Telindus N.V.  IT-Grundschutz, desarrollada por la Bundesamt für Sicherheit in der Informationstechnik (Oficina Federal para la Seguridad de la Información) de Alemania.
  • 28. 28 Mg, Ing. Jack Daniel Cáceres Meza, PMP Acciones a Realizar en un Análisis de Riesgos  Determinar el alcance del análisis de riesgo de TI  Identificar todos los activos de información de la Organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación)  Identificar las principales amenazas de los activos de información  Identificar las principales vulnerabilidades que pueden generar las amenazas de cada activo de información  Identificar la probabilidad que tienen cada una de las vulnerabilidades identificadas.  Estimar (con los elementos anteriores):  El impacto: lo que podría pasar y el análisis CID  El riesgo: lo que probablemente pase  Desarrollar la Matriz de Riesgo  Interpretar la matriz de riesgo, brindar conclusiones y recomendaciones
  • 29. Mg. Ing. Jack Daniel Cáceres Meza, PMP jack_caceres@hotmail.com Gracias por su atención ¿Preguntas?