1. Análisis de Riesgos
Basados en MAGERIT
Modelos y Estándares de Seguridad Informática.
Luis Felipe Borrero Suarez
2. Planificación
• Estudio de Oportunidad: Realiza diagnostico del estado de
seguridad en que están los activos de información y
tecnológicos.
• Definición del Alcance y Objetivos del Proyecto: Limites,
Dominio y Objetivos.
• Planificación del Proyecto: Cronograma de actividades.
• Lanzamiento del Proyecto: Posterior a un proceso de
análisis, Observación, Etc.
3. Análisis de Riesgo.
• Caracterización y Valoración de los activos.
1. Identificación de los activos.
Aplicaciones informáticas: Sistemas de información manejados,
sistemas Operativos, Herramientas software, Antivirus.
Servicios: Servidor Proxy, DNS, DHCP, Telefonía, IP, Servidor de
base de datos, Cámaras IP.
Redes de Comunicaciones: Proveedor de servicios de internet.
Equipamiento Informático: Firewall, PC, Switch, Router.
4. Análisis de Riesgo.
• Caracterización y Valoración de los activos.
1. Identificación de los activos.
Equipamiento Auxiliar: Cableado de red y alimentación
eléctrica.
Instalaciones: Gabinetes donde están los dispositivos.
Personal: Auxiliares, Administrativos.
5. Valoración de Activos.
• Valoración de activos de acuerdo a la metodología MARGERIT
Para valorar las consecuencias en casos de materialización de
las amenazas.
Dimensiones:
1. Disponibilidad.
2. Integridad de los datos.
3. Confidencialidad de la información.
4. Autenticidad.
5. Trazabilidad.
6. Caracterización y Valoración de las
Amenazas.
• Evaluar la devaluación de los activos en caso de
materialización de amenazas. Se analizan en tablas con
criterios como:
1. Frecuencia de amenaza.
2. Degradación de la amenaza.
3. Identificación y valoración de amenazas tipo: Aplicaciones
Informáticas.
4. Justificación de Amenaza: Errores de los usuarios, mala
Administración, errores de configuración, vulnerabilidades.
7. Caracterización y Valoración de las
Amenazas.
• Evaluar la devaluación de los activos en caso de
materialización de amenazas. Se analizan en tablas con
criterios como:
6. Alteración intencional o accidental de información.
7. Ingeniería Social.
8. No establecer métodos de aseguramiento de la información:
Backups.
9. Implementación de Perfiles.
10. Instalaciones Físicas adecuadas.
8. Estimación del Impacto
Estimación del Impacto del daño en caso de materialización
de amenaza en activos de la información.
1. Impacto Acumulado: Impacto Potencial al que esta
expuesto el sistema.
2. Impacto Residual: Es el resultado de combinar el valor
de los activos, la valoración de las amenazas y la
efectividad de los preventivos aplicados.
3. Se determina tomando valores del impacto acumulado y
la frecuencia de las amenazas, determinando que
activos están potencialmente amenazados.
9. Interpretación de los resultados.
• Hardware: Mantenimiento preventivo y correctivo, normalizar
procedimientos técnicos, personal especializado, Restricción
de dispositivos externos, Planes de Contingencia.
• Software: Licencias, Prevención de software ilegal, Copias de
Seguridad y Actualización de Seguridad.
• Redes: Segmentar red Física y Lógicamente, Sistemas de
protección perimetral.
• Establecer la necesidad de mejora de instalación física y de
seguridad.
• Entablar controles de acuerdo a los resultados.
10. Mecanismos de control de activos
• Seguridad física y ambiental.
• Controles de acceso físico.
• Protección de oficinas, recintos e instalaciones.
• Desarrollo de tareas en áreas protegidas.
• Seguridad del cableado.
• Mantenimiento de equipos.
• Controles contra software malicioso.
11. Mecanismos de control de activos
• Controles de redes.
• Administración de métodos informáticos Removibles.
• Seguridad del Correo Electrónico.
• Control de acceso al sistema operativo.
• Procedimientos de conexión de terminales.
• Identificación y autenticación de los usuarios.
• Sistema de administración de contraseñas.
12. Mecanismos de control de activos
• Control de acceso a las aplicaciones.
• Controles criptográficos.
• Seguridad de los procesos de desarrollo y Soporte
13. Bibliografía
• Perafan. J-J, Caicedo. M, Analisis de riesgos de la
información para la institución universitaria colegio mayor
del Cauca. Recuperado de:
http://stadium.unad.edu.co/preview/UNAD.php?url=/bitstre
am/10596/2655/3/76327474.pdf