Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Análisis de riesgos basado en magerit
1. ANÁLISIS DE RIESGOS
BASADO EN MAGERIT
MODELOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA
MAIDY ALEJANDRA ROJAS
2. 1. PLANIFICACIÓN
• Estudio de Oportunidad: Realiza diagnostico del estado de
seguridad en que están los activos de información y
tecnológicos.
• Definición del Alcance y Objetivos del Proyecto: Limites,
Dominio y objetivos.
• Planificación del Proyecto: Cronograma de actividades.
• Lanzamiento del Proyecto: Posterior a un proceso de análisis,
observación, etc.
3. 2. ANÁLISIS DE RIESGOS
• Caracterización y Valoración de los Activos.
-Identificación de los Activos:
Aplicaciones Informáticas: Sistemas de información manejados,
sistema operativo, herramientas software, antivirus.
Servicios: Servidor proxy, DNS, DHCP, Telefonia IP, Servidor base de datos,
Cámaras IP.
Redes de comunicaciones: Proveedor de servicios de internet.
Equipamiento informático: Firewall, PC, Switch, Router…
Equipamiento Auxiliar: Cableado de red y alimentación eléctrica.
Instalaciones: gabinetes donde están los dispositivos.
Personal: Auxiliares, administrativos…
4. VALORACIÓN DE ACTIVOS
• Valoración de activos de acuerdo a la metodología MARGERIT para
valorar las consecuencias en caso de materialización de las amenazas
Dimensiones:
• Disponibilidad
• Integridad de los datos
• Confidencialidad de la Información
• Autenticidad
• Trazabilidad
5. 3. CARACTERIZACIÓN Y VALORACIÓN DE
LAS AMENAZAS
• Evaluar la devaluación de los activos en caso de materialización de amenazas. Se analizan en tablas
con criterios como:
• Frecuencia de Amenazas
• Degradación de las Amenazas
• Identificación y Valoración de Amenazas Tipo: Aplicaciones Informáticas
• Justificación de Amenazas: Errores de los usuarios, mla administración, errores de configuración,
vulnerabilidades.
• Alteración intencional o accidental de información.
• Ingeniería social
• No establecer métodos de aseguramiento: Backups
• Implementación de perfiles
• Instalaciones físicas adecuadas
6. 4. ESTIMACIÓN DEL IMPACTO
Estimación del impacto del daño en caso de materialización de
amenaza en activos de in
• Impacto acumulado: Impacto potencial al que esta expuesto el
sistema.
• Impacto residual: es el resultado de combinar el valor de los
activos, la valoración de las amenazas y la efectividad de los
preventivos aplicados;
7. 5. ESTIMACIÓN DEL RIESGO
• Se determina tomando valores del impacto acumulado y la
frecuencia de las amenazas, determinando que activos están
potencialmente amenazados.
8. 6. INTERPRETACIÓN DE LOS RESULTADOS
• Hardware: mantenimiento preventivo y correctivo, normalizar
procedimientos técnicos, personal especializado, restricción de
dispositivos externos, planes de contingencia.
• Software: Licencias, prevencionn de software ilegal, copias de
seguridad y actualizaciones de seguridad.
• Redes: Segmentar red física y lógicamente, sistemas de protección
perimetral
• Establecer la necesidad de mejora de instalaciones físicas y de
seguridad.
• Entablar controles de acuerdo a los resultados.
9. 7. MECANISMOS DE CONTROL DE ACTIVOS
• Seguridad Física y Ambiental
• Controles de Acceso Físico
• Protección de Oficinas, Recintos e Instalaciones
• Desarrollo de Tareas en Áreas Protegidas
• Seguridad del Cableado
• Mantenimiento de Equipos
• Controles Contra Software Malicioso
• Controles de Redes
• Administración de Medios Informáticos Removibles.
• Seguridad del Correo Electrónico
10. • Control de Acceso al Sistema Operativo
• Procedimientos de Conexión de Terminales
• Identificación y Autenticación de los Usuarios
• Sistema de Administración de Contraseñas
• Control de Acceso a las Aplicaciones
• Controles Criptográficos
• Seguridad de los Procesos de Desarrollo y Soporte
11. BIBLIOGRAFÍA
• Perafan. J. J, Caicedo. M, Análisis de Riesgos de la Seguridad de
la Información para la Institución Universitaria Colegio Mayor
Del Cauca. Recuperado de:
http://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream
/10596/2655/3/76327474.pdf