SlideShare una empresa de Scribd logo

¡Fácil y sencillo! Análisis de riesgos en 6 pasos _ INCIBE.pdf

Nicanor Sachahuaman
Nicanor Sachahuaman

Evalaucion de riesgos en la nube

Tecnología
1 de 10
Descargar para leer sin conexión
19/9/22, 13:12 ¡Fácil y sencillo! Análisis de riesgos en 6 pasos | INCIBE https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 1/10 Inicio (/) / Protege tu empresa (/protege-tu-empresa) / Blog (/protege-tu-empresa/blog) / ¡Fácil y sencillo! Análisis de riesgos en 6 pasos (https://www.facebook.com/sharer.php?u=https%3A//www.incibe.es/protege-tu- empresa/blog/analisis-riesgos-pasos- sencillo&t=%C2%A1F%C3%A1cil%20y%20sencillo%21%20An%C3%A1lisis%20de%20riesgos%20en%2 06%20pasos) (https://www.linkedin.com/shareArticle?mini=true&url=https%3A//www.incibe.es/protege-tu- empresa/blog/analisis-riesgos-pasos- sencillo&title=%C2%A1F%C3%A1cil%20y%20sencillo%21%20An%C3%A1lisis%20de%20riesgos%20en %206%20pasos&summary=&source=INCIBE) (https://twitter.com/share?url=https%3A//www.incibe.es/protege-tu-empresa/blog/analisis- riesgos-pasos- sencillo&via=INCIBE&related=&hashtags=&text=%C2%A1F%C3%A1cil%20y%20sencillo%21%20An%C 3%A1lisis%20de%20riesgos%20en%206%20pasos) (https://web.whatsapp.com/send? text=%C2%A1F%C3%A1cil%20y%20sencillo%21%20An%C3%A1lisis%20de%20riesgos%20en%206%2 0pasos%20https%3A//www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo) ¡Fácil y sencillo! Análisis de riesgos en 6 pasos (/protege-tu- empresa/blog/analisis-riesgos-pasos-sencillo) Publicado el 16/01/2017, por INCIBE  Las cookies ya han sido configuradas Ahora puede ocultar este mensaje o volver a configurar las cookies. Ocultar Gestión de Cookies
19/9/22, 13:12 ¡Fácil y sencillo! Análisis de riesgos en 6 pasos | INCIBE https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 2/10 Sin duda alguna, si queremos «empezar por el principio» en materia de ciberseguridad en nuestra empresa, el análisis de riesgos es uno de los trabajos más importantes a la hora de definir proyectos e iniciativas para la mejora de la seguridad de la información. Si consideramos que las herramientas tecnológicas y la información que manejamos son de gran valor para nuestra organización debemos empezar a pensar en poner en práctica un Plan Director de Seguridad (/protege-tu-empresa/que-te- interesa/plan-director-seguridad). El Plan Director de Seguridad (PDS) se puede simplificar como la definición y priorización de un conjunto de proyectos en materia de seguridad de la información, dirigido a reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables a partir de un análisis de la situación inicial. Llevar a cabo un buen análisis nos permitirá centrar nuestro foco de atención en los riesgos asociados a los sistemas, procesos y elementos dentro del alcance del PDS. De esta forma mitigaremos la posibilidad de tener algún tipo de incidente de ciberseguridad (/protege-tu- empresa/blog/filtro/testimonios). Por otra parte, también podemos obtener beneficios si realizamos un análisis de riesgos de forma aislada en lugar de llevarlo a cabo dentro de un contexto mayor como es el del desarrollo de un PDS. A continuación veremos de forma sencilla las principales tareas del análisis de riesgos, aportando recomendaciones prácticas sobre cómo llevarlo a cabo (/protege-tu-empresa/guias/gestion-riesgos- guia-empresario), y considerando algunas particularidades a tener en cuenta para que aporte el máximo valor al PDS. Cabe señalar que las fases o etapas que componen un análisis de riesgos dependen de la metodología escogida. En el caso que nos ocupa, hemos seleccionado un conjunto de fases que son comunes en la mayor parte de las metodologías para el análisis de riesgos. Fase 1. Definir el alcance El primer paso a la hora de llevar a cabo el análisis de riesgos, es establecer el alcance del estudio. Vamos a considerar que este análisis de riesgos forma parte del Plan Director de Seguridad. Por lo tanto, recomendamos que el análisis de riesgos cubra la totalidad del alcance del PDS, dónde se han seleccionado las áreas estratégicas sobre las que mejorar la seguridad. Por otra parte, también es posible definir un alcance más limitado atendiendo a departamentos, procesos o sistemas. Por  Las cookies ya han sido configuradas Ahora puede ocultar este mensaje o volver a configurar las cookies. Ocultar Gestión de Cookies
19/9/22, 13:12 ¡Fácil y sencillo! Análisis de riesgos en 6 pasos | INCIBE https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 3/10 ejemplo, análisis de riesgos sobre los procesos del departamento Administración, análisis de riesgos sobre los procesos de producción y gestión de almacén o análisis de riesgos sobre los sistemas TIC relacionados con la página web de la empresa, etc. En este caso práctico consideramos que el alcance escogido para el análisis de riesgos es “Los servicios y sistemas del Departamento Informática”. Fase 2. Identificar los activos Una vez definido el alcance, debemos identificar los activos más importantes que guardan relación con el departamento, proceso, o sistema objeto del estudio. Para mantener un inventario de activos sencillo puede ser suficiente con hacer uso de una hoja de cálculo o tabla como la que se muestra a continuación a modo de ejemplo: Fase 3. Identificar / seleccionar las amenazas Habiendo identificado los principales activos, el siguiente paso consiste en identificar las amenazas a las que estos están expuestos. Tal y como imaginamos, el conjunto de amenazas es amplio y diverso por lo que debemos hacer un esfuerzo en mantener un enfoque práctico y aplicado. Por ejemplo, si nuestra intención es evaluar el riesgo que corremos frente a la destrucción de nuestro servidor de ficheros, es conveniente, considerar las averías del servidor, la posibilidad de daños por agua (rotura de una cañería) o los daños por fuego, en lugar de plantearnos el riesgo de que el CPD sea destruido por un meteorito. A la hora de identificar las amenazas, puede ser útil tomar como punto de partida el catálogo de amenazas que incluye la metodología MAGERIT v3 . Fase 4. Identificar vulnerabilidades y salvaguardas La siguiente fase consiste en estudiar las características de nuestros activos para identificar puntos débiles o vulnerabilidades. Por ejemplo, una posible vulnerabilidad puede ser identificar un conjunto de ordenadores o servidores cuyo sistemas antivirus no están actualizados o una serie de activos para los que no existe soporte ni mantenimiento por parte del fabricante. Posteriormente, a la hora de evaluar el riesgo aplicaremos penalizaciones para reflejar las vulnerabilidades identificadas.  Las cookies ya han sido configuradas Ahora puede ocultar este mensaje o volver a configurar las cookies. Ocultar Gestión de Cookies
19/9/22, 13:12 ¡Fácil y sencillo! Análisis de riesgos en 6 pasos | INCIBE https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 4/10 Por otra parte, también analizaremos y documentaremos las medidas de seguridad implantadas en nuestra organización. Por ejemplo, es posible que hayamos instalado un sistema SAI (Sistema de Alimentación Ininterrumpida) o un grupo electrógeno para abastecer de electricidad a los equipos del CPD. Ambas medidas de seguridad (también conocidas como salvaguardas) contribuyen a reducir el riesgo de las amenazas relacionadas con el corte de suministro eléctrico. Estas consideraciones (vulnerabilidades y salvaguardas) debemos tenerlas en cuenta cuando vayamos a estimar la probabilidad y el impacto como veremos en la siguiente fase. Fase 5. Evaluar el riesgo Llegado a este punto disponemos de los siguientes elementos: Inventario de activos. Conjunto de amenazas a las que está expuesta cada activo. Conjunto de vulnerabilidades asociadas a cada activo (si corresponde). Conjunto de medidas de seguridad implantadas Con esta información, nos encontramos en condiciones de calcular el riesgo. Para cada par activo- amenaza, estimaremos la probabilidad de que la amenaza se materialice y el impacto sobre el negocio que esto produciría. El cálculo de riesgo se puede realizar usando tanto criterios cuantitativos como cualitativos. Pero para entenderlo mejor, veremos a modo de ejemplo las tablas para estimar los factores probabilidad e impacto. Tabla para el cálculo de la probabilidad  Las cookies ya han sido configuradas Ahora puede ocultar este mensaje o volver a configurar las cookies. Ocultar Gestión de Cookies
19/9/22, 13:12 ¡Fácil y sencillo! Análisis de riesgos en 6 pasos | INCIBE https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 5/10 Tabla para el cálculo del impacto Cálculo del riesgo A la hora de calcular el riesgo, si hemos optado por hacer el análisis cuantitativo, calcularemos multiplicando los factores probabilidad e impacto: RIESGO = PROBABILIDAD x IMPACTO. Si por el contrario hemos optado por el análisis cualitativo, haremos uso de una matriz de riesgo como la que se muestra a continuación: Tal y como indicábamos en el apartado anterior, cuando vayamos a estimar la probabilidad y el impacto debemos tener en cuenta las vulnerabilidades y salvaguardas existentes. Por ejemplo, la caída del servidor principal podría tener un impacto alto para el negocio. Sin embargo, si existe una solución de alta disponibilidad (Ej. Servidores redundados), podemos considerar que el impacto será medio ya que estas medidas de seguridad harán que los procesos de negocio no se vean gravemente afectados por la caída del servidor. Si por el contrario hemos identificado vulnerabilidades asociadas al activo, aplicaremos una penalización a la hora de estimar el impacto. Por ejemplo, si los equipos de climatización del CPD no han recibido el mantenimiento recomendado por el fabricante, incrementaremos el impacto de amenazas como “condiciones ambientales inadecuadas” o “malfuncionamiento de los equipos debido a altas temperaturas”. Fase 6. Tratar el riesgo  Las cookies ya han sido configuradas Ahora puede ocultar este mensaje o volver a configurar las cookies. Ocultar Gestión de Cookies
19/9/22, 13:12 ¡Fácil y sencillo! Análisis de riesgos en 6 pasos | INCIBE https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 6/10 Etiquetas: Una vez calculado el riesgo, debemos tratar aquellos riesgos que superen un límite que nosotros mismos hayamos establecido. Por ejemplo, trataremos aquellos riesgos cuyo valor sea superior a “4” o superior a “Medio” en caso de que hayamos hecho el cálculo en términos cualitativos. A la hora de tratar el riesgo, existen cuatro estrategias principales: Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro (/protege-tu- empresa/blog/porque-veces-pasa-y-si-contrato-ciberseguro)que cubra los daños a terceros ocasionados por fugas de información. Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que está sujeto a un riesgo elevado. En el caso práctico que hemos expuesto, podríamos eliminar la wifi de cortesía para dar servicio a los clientes si no es estrictamente necesario. Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de instalar un grupo electrógeno puede ser demasiado alto y por tanto, la organización puede optar por asumir. Implantar medidas para mitigarlo. Por ejemplo, contratando un acceso a internet de respaldo para poder acceder a los servicios en la nube en caso de que la línea principal haya caído. Por último, cabe señalar que como realizamos este análisis de riesgos en el contexto de un PDS (Plan Director de Seguridad), las acciones e iniciativas para tratar los riesgos pasarán a formar parte del mismo. Por lo tanto, deberemos clasificarlas y priorizarlas considerando el resto de proyectos que forman parte del PDS. Asimismo, tal y como indicábamos en la introducción, llevar a cabo un análisis de riesgos nos proporciona información de gran valor y contribuye en gran medida a mejorar la seguridad de nuestra organización. Dada esta situación, animamos a nuestros lectores a llevar a cabo este tipo de proyectos ya bien sea de forma aislada o dentro del contexto de un proyecto mayor como es el caso del Plan Director de Seguridad. Amenazas (/protege-tu-empresa/blog/filtro/amenazas) Empresa (/protege-tu-empresa/blog/filtro/empresa) Plan director (/protege-tu-empresa/blog/filtro/plan-director) Artículos relacionados › (/protege-tu-empresa/blog/analisis-riesgos- pasos-sencillo?page=1)  Las cookies ya han sido configuradas Ahora puede ocultar este mensaje o volver a configurar las cookies. Ocultar Gestión de Cookies
19/9/22, 13:12 ¡Fácil y sencillo! Análisis de riesgos en 6 pasos | INCIBE https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 7/10 Elisa Vivancos (INCIBE) (/autor/elisa-vivancos-incibe) | 06/09/2022 Los 10 vectores de ataque más utilizados por los ciberdelincuentes (/protege-tu- empresa/blog/los-10-vectores- ataque-mas-utilizados-los- ciberdelincuentes) Pablo Gracia Álvarez (INCIBE) (/autor/pablo-gracia-alvarez- incibe) | 02/08/2022 Historia real: SIM swapping, de estar sin cobertura a estar sin dinero en el banco (/protege-tu- empresa/blog/historia-real-sim- swapping-estar-cobertura-estar- dinero-el-banco) Elisa Vivancos (INCIBE) (/autor/elisa-vivancos-incibe) | 05/07/2022 Transforma tu pyme con ciberresiliencia siguiendo los consejos de ENISA (/protege-tu- empresa/blog/transforma-tu- pyme-ciberresiliencia-siguiendo- los-consejos-enisa) (/protege-tu-empresa/blog/los- 10-vectores-ataque-mas- utilizados-los-ciberdelincuentes) (/protege-tu- empresa/blog/historia-real-sim- swapping-estar-cobertura- estar-dinero-el-banco) (/protege-tu- empresa/blog/transforma-tu- pyme-ciberresiliencia- siguiendo-los-consejos-enisa)  Las cookies ya han sido configuradas Ahora puede ocultar este mensaje o volver a configurar las cookies. Ocultar Gestión de Cookies
19/9/22, 13:12 ¡Fácil y sencillo! Análisis de riesgos en 6 pasos | INCIBE https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 8/10 (https://www.facebook.com/sharer.php?u=https%3A//www.incibe.es/protege-tu- empresa/blog/analisis-riesgos-pasos- sencillo&t=%C2%A1F%C3%A1cil%20y%20sencillo%21%20An%C3%A1lisis%20de%20riesgos%20en% 206%20pasos) (https://www.linkedin.com/shareArticle?mini=true&url=https%3A//www.incibe.es/protege-tu- empresa/blog/analisis-riesgos-pasos- sencillo&title=%C2%A1F%C3%A1cil%20y%20sencillo%21%20An%C3%A1lisis%20de%20riesgos%20e n%206%20pasos&summary=&source=INCIBE) (https://twitter.com/share?url=https%3A//www.incibe.es/protege-tu-empresa/blog/analisis- riesgos-pasos- sencillo&via=INCIBE&related=&hashtags=&text=%C2%A1F%C3%A1cil%20y%20sencillo%21%20An% C3%A1lisis%20de%20riesgos%20en%206%20pasos) (https://web.whatsapp.com/send? text=%C2%A1F%C3%A1cil%20y%20sencillo%21%20An%C3%A1lisis%20de%20riesgos%20en%206%2 0pasos%20https%3A//www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo) Ir atrás  Avisos de seguridad (/protege-tu-empresa/avisos-seguridad) Blog (/protege-tu-empresa/blog) Te Ayudamos (/protege-tu-empresa/te-ayudamos) SECtoriza2 (/protege-tu-empresa/sectoriza2) TemáTICas (/protege-tu-empresa/tematicas) ¿Qué te interesa? (/protege-tu-empresa/que-te-interesa) Herramientas (/protege-tu-empresa/herramientas) Formación (/protege-tu-empresa/formacion) Guías (/protege-tu-empresa/guias) Tu Ayuda en Ciberseguridad ¿Has tenido un incidente de ciberseguridad? Contáctanos. (https://www.incibe.es/linea-de-ayuda-en- ciberseguridad) ¿Aplicas el RGPD? ¡Las claves para cumplirlo y conseguir más confianza en tu negocio! (https://www.incibe.es/protege-tu- empresa/rgpd-para-pymes) ¡A la carta! ¿Sabes cómo se protegen las empresas de tu sector? (https://itinerarios.incibe.es/)  Las cookies ya han sido configuradas Ahora puede ocultar este mensaje o volver a configurar las cookies. Ocultar Gestión de Cookies
19/9/22, 13:12 ¡Fácil y sencillo! Análisis de riesgos en 6 pasos | INCIBE https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 9/10 (https://www.incibe.es/) (https://www.incibe- cert.es/) (https://www.incibe.es/protege-tu-empresa) (https://www.osi.es/es) (https://www.is4k.es/) (https://cybercamp.es/) NIPO: 094-20-021-3 Síguenos en: (https://twitter.com/protegeempresa) (https://www.linkedin.com/company/11487533/) (https://www.facebook.com/protegetuempresa/) (https://www.pinterest.es/protegetuempresa/) (https://europa.eu/next-generation-eu/index_es) (http://www.mineco.gob.es/) (https://planderecuperacion.gob.es/) (https://espanadigital.gob.es/) (/sites/default/files/certificado_ens_25102021.pdf) (/sites/default/files/certificado_sgsi_26102021.pdf) (/sites/default/files/certificado_sgc_08112021.pdf) Contacto (/contacto) Transparencia (/transparencia) Perfil del contratante (/perfil-contratante-y-transparencia) Empleo (/empleo) Política de cookies (/politica-cookies) Política de Protección de Datos Personales (/proteccion-datos-personales) Aviso legal (/aviso-legal) Declaración de accesibilidad (/declaracion-de-accesibilidad) Configurar cookies (/)  Las cookies ya han sido configuradas Ahora puede ocultar este mensaje o volver a configurar las cookies. Ocultar Gestión de Cookies
19/9/22, 13:12 ¡Fácil y sencillo! Análisis de riesgos en 6 pasos | INCIBE https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 10/10

Recomendados

Sigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfSigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfNicanor Sachahuaman
 
Gestión de riesgos, una guía de aproximación para el empresario _ INCIBE.pdf
Gestión de riesgos, una guía de aproximación para el empresario _ INCIBE.pdfGestión de riesgos, una guía de aproximación para el empresario _ INCIBE.pdf
Gestión de riesgos, una guía de aproximación para el empresario _ INCIBE.pdfNicanor Sachahuaman
 
Enfoque global y estrategias de seguridad
Enfoque global y estrategias de seguridadEnfoque global y estrategias de seguridad
Enfoque global y estrategias de seguridadalexia almonte
 
Sis 102 reducing-risk_es
Sis 102 reducing-risk_esSis 102 reducing-risk_es
Sis 102 reducing-risk_esJulio Illanes
 
Sis 102 reducing-risk_es (1)
Sis 102 reducing-risk_es (1)Sis 102 reducing-risk_es (1)
Sis 102 reducing-risk_es (1)Julio Illanes
 
Presentacion gestion del riesgo
Presentacion gestion del riesgoPresentacion gestion del riesgo
Presentacion gestion del riesgoAMPARO RANGEL LEON
 
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es 207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-esxavazquez
 
Actividad 1 metodos para la evaluacion integral de riesgos
Actividad 1 metodos para la evaluacion integral de riesgosActividad 1 metodos para la evaluacion integral de riesgos
Actividad 1 metodos para la evaluacion integral de riesgosNATALIA CAROLINA PEREZ LONDOÑO
 

Recomendados

Sigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfSigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfNicanor Sachahuaman
 
Gestión de riesgos, una guía de aproximación para el empresario _ INCIBE.pdf
Gestión de riesgos, una guía de aproximación para el empresario _ INCIBE.pdfGestión de riesgos, una guía de aproximación para el empresario _ INCIBE.pdf
Gestión de riesgos, una guía de aproximación para el empresario _ INCIBE.pdfNicanor Sachahuaman
 
Enfoque global y estrategias de seguridad
Enfoque global y estrategias de seguridadEnfoque global y estrategias de seguridad
Enfoque global y estrategias de seguridadalexia almonte
 
Sis 102 reducing-risk_es
Sis 102 reducing-risk_esSis 102 reducing-risk_es
Sis 102 reducing-risk_esJulio Illanes
 
Sis 102 reducing-risk_es (1)
Sis 102 reducing-risk_es (1)Sis 102 reducing-risk_es (1)
Sis 102 reducing-risk_es (1)Julio Illanes
 
Presentacion gestion del riesgo
Presentacion gestion del riesgoPresentacion gestion del riesgo
Presentacion gestion del riesgoAMPARO RANGEL LEON
 
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es 207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-es
207718536-problemаtica-ventajas-y-desventajas-iso-27001-py m-esxavazquez
 
Actividad 1 metodos para la evaluacion integral de riesgos
Actividad 1 metodos para la evaluacion integral de riesgosActividad 1 metodos para la evaluacion integral de riesgos
Actividad 1 metodos para la evaluacion integral de riesgosNATALIA CAROLINA PEREZ LONDOÑO
 
Metodos de evaluacion de riesgos
Metodos de evaluacion de riesgosMetodos de evaluacion de riesgos
Metodos de evaluacion de riesgosSonia Cáceres Vivas
 
Análisis de riesgo o gestión de pérdidas
Análisis de riesgo o gestión de pérdidasAnálisis de riesgo o gestión de pérdidas
Análisis de riesgo o gestión de pérdidasUniversidade Federal Fluminense
 
Análisis de riesgo o gestión de pérdidas
Análisis de riesgo o gestión de pérdidasAnálisis de riesgo o gestión de pérdidas
Análisis de riesgo o gestión de pérdidasUniversidade Federal Fluminense
 
6 de los métodos de evaluación de riesgos
6 de los métodos de evaluación de riesgos6 de los métodos de evaluación de riesgos
6 de los métodos de evaluación de riesgoslaurestrepo08
 
Plan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de CómputoPlan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de Cómputossuserdd0f8d
 
Metodos de evaluacion de riesgos
Metodos de evaluacion de riesgosMetodos de evaluacion de riesgos
Metodos de evaluacion de riesgosJeniferPaloSan
 
Tema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaTema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaMariano Galvez
 
Unidad 3 riesgos-contingencias
Unidad 3 riesgos-contingenciasUnidad 3 riesgos-contingencias
Unidad 3 riesgos-contingenciasgarivas2006
 
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis) Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis) Marco Enrique Ramos Castillo
 
Sis 101 what-is_risk_es
Sis 101 what-is_risk_esSis 101 what-is_risk_es
Sis 101 what-is_risk_esJulio Illanes
 
Evaluación de riesgos y balanced scorecard
Evaluación de riesgos y balanced scorecardEvaluación de riesgos y balanced scorecard
Evaluación de riesgos y balanced scorecardSergio Salimbeni
 
procesos de la auditoria
procesos de la auditoriaprocesos de la auditoria
procesos de la auditoriaJosLuisMndezMndezHer
 
Actividad 3 metodos de evaluacion integral de riesgos 1
Actividad 3 metodos de evaluacion integral de riesgos 1Actividad 3 metodos de evaluacion integral de riesgos 1
Actividad 3 metodos de evaluacion integral de riesgos 1JaquelnHuertasRodrgu
 
UND12_Auditoria de Sistemas. Mi plan B.pdf
UND12_Auditoria de Sistemas. Mi plan B.pdfUND12_Auditoria de Sistemas. Mi plan B.pdf
UND12_Auditoria de Sistemas. Mi plan B.pdfDemsshillCoutino
 
Gestión y configuración de software(9)
Gestión y configuración de software(9)Gestión y configuración de software(9)
Gestión y configuración de software(9)León Leon
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
Presentacion analisis del riesgo
Presentacion analisis del riesgoPresentacion analisis del riesgo
Presentacion analisis del riesgoJhovany Lavado
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4Itconic
 
Modulo 22 Sistemas de Alerta Temprana - ESP.pptx
Modulo 22 Sistemas de Alerta Temprana - ESP.pptxModulo 22 Sistemas de Alerta Temprana - ESP.pptx
Modulo 22 Sistemas de Alerta Temprana - ESP.pptxcaniceconsulting
 
calculate-business-costs-of-technical-debt.pdf
calculate-business-costs-of-technical-debt.pdfcalculate-business-costs-of-technical-debt.pdf
calculate-business-costs-of-technical-debt.pdfNicanor Sachahuaman
 
ubc_2012_fall_lim_erin2.en.es.pdf
ubc_2012_fall_lim_erin2.en.es.pdfubc_2012_fall_lim_erin2.en.es.pdf
ubc_2012_fall_lim_erin2.en.es.pdfNicanor Sachahuaman
 

Más contenido relacionado

Similar a ¡Fácil y sencillo! Análisis de riesgos en 6 pasos _ INCIBE.pdf

6 de los métodos de evaluación de riesgos
6 de los métodos de evaluación de riesgos6 de los métodos de evaluación de riesgos
6 de los métodos de evaluación de riesgoslaurestrepo08
 
Plan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de CómputoPlan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de Cómputossuserdd0f8d
 
Metodos de evaluacion de riesgos
Metodos de evaluacion de riesgosMetodos de evaluacion de riesgos
Metodos de evaluacion de riesgosJeniferPaloSan
 
Tema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaTema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaMariano Galvez
 
Unidad 3 riesgos-contingencias
Unidad 3 riesgos-contingenciasUnidad 3 riesgos-contingencias
Unidad 3 riesgos-contingenciasgarivas2006
 
Sis 101 what-is_risk_es
Sis 101 what-is_risk_esSis 101 what-is_risk_es
Sis 101 what-is_risk_esJulio Illanes
 
Evaluación de riesgos y balanced scorecard
Evaluación de riesgos y balanced scorecardEvaluación de riesgos y balanced scorecard
Evaluación de riesgos y balanced scorecardSergio Salimbeni
 
Actividad 3 metodos de evaluacion integral de riesgos 1
Actividad 3 metodos de evaluacion integral de riesgos 1Actividad 3 metodos de evaluacion integral de riesgos 1
Actividad 3 metodos de evaluacion integral de riesgos 1JaquelnHuertasRodrgu
 
UND12_Auditoria de Sistemas. Mi plan B.pdf
UND12_Auditoria de Sistemas. Mi plan B.pdfUND12_Auditoria de Sistemas. Mi plan B.pdf
UND12_Auditoria de Sistemas. Mi plan B.pdfDemsshillCoutino
 
Gestión y configuración de software(9)
Gestión y configuración de software(9)Gestión y configuración de software(9)
Gestión y configuración de software(9)León Leon
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
Presentacion analisis del riesgo
Presentacion analisis del riesgoPresentacion analisis del riesgo
Presentacion analisis del riesgoJhovany Lavado
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezRenzo Lomparte
 
Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4Itconic
 
Modulo 22 Sistemas de Alerta Temprana - ESP.pptx
Modulo 22 Sistemas de Alerta Temprana - ESP.pptxModulo 22 Sistemas de Alerta Temprana - ESP.pptx
Modulo 22 Sistemas de Alerta Temprana - ESP.pptxcaniceconsulting
 

Similar a ¡Fácil y sencillo! Análisis de riesgos en 6 pasos _ INCIBE.pdf (20)

Metodos de evaluacion de riesgos
Metodos de evaluacion de riesgosMetodos de evaluacion de riesgos
Metodos de evaluacion de riesgos
 
Análisis de riesgo o gestión de pérdidas
Análisis de riesgo o gestión de pérdidasAnálisis de riesgo o gestión de pérdidas
Análisis de riesgo o gestión de pérdidas
 
Análisis de riesgo o gestión de pérdidas
Análisis de riesgo o gestión de pérdidasAnálisis de riesgo o gestión de pérdidas
Análisis de riesgo o gestión de pérdidas
 
6 de los métodos de evaluación de riesgos
6 de los métodos de evaluación de riesgos6 de los métodos de evaluación de riesgos
6 de los métodos de evaluación de riesgos
 
Plan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de CómputoPlan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de Cómputo
 
Metodos de evaluacion de riesgos
Metodos de evaluacion de riesgosMetodos de evaluacion de riesgos
Metodos de evaluacion de riesgos
 
Tema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaTema 6 planes de seguridad informatica
Tema 6 planes de seguridad informatica
 
Unidad 3 riesgos-contingencias
Unidad 3 riesgos-contingenciasUnidad 3 riesgos-contingencias
Unidad 3 riesgos-contingencias
 
Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis) Sistema instrumentado de seguridad (sis)
Sistema instrumentado de seguridad (sis)
 
Sis 101 what-is_risk_es
Sis 101 what-is_risk_esSis 101 what-is_risk_es
Sis 101 what-is_risk_es
 
Evaluación de riesgos y balanced scorecard
Evaluación de riesgos y balanced scorecardEvaluación de riesgos y balanced scorecard
Evaluación de riesgos y balanced scorecard
 
procesos de la auditoria
procesos de la auditoriaprocesos de la auditoria
procesos de la auditoria
 
Actividad 3 metodos de evaluacion integral de riesgos 1
Actividad 3 metodos de evaluacion integral de riesgos 1Actividad 3 metodos de evaluacion integral de riesgos 1
Actividad 3 metodos de evaluacion integral de riesgos 1
 
UND12_Auditoria de Sistemas. Mi plan B.pdf
UND12_Auditoria de Sistemas. Mi plan B.pdfUND12_Auditoria de Sistemas. Mi plan B.pdf
UND12_Auditoria de Sistemas. Mi plan B.pdf
 
Gestión y configuración de software(9)
Gestión y configuración de software(9)Gestión y configuración de software(9)
Gestión y configuración de software(9)
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
Presentacion analisis del riesgo
Presentacion analisis del riesgoPresentacion analisis del riesgo
Presentacion analisis del riesgo
 
ISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte SanchezISO 27001 by Lomparte Sanchez
ISO 27001 by Lomparte Sanchez
 
Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4Tgs wp-seguridad enlanube-esp-v4
Tgs wp-seguridad enlanube-esp-v4
 
Modulo 22 Sistemas de Alerta Temprana - ESP.pptx
Modulo 22 Sistemas de Alerta Temprana - ESP.pptxModulo 22 Sistemas de Alerta Temprana - ESP.pptx
Modulo 22 Sistemas de Alerta Temprana - ESP.pptx
 

Más de Nicanor Sachahuaman

calculate-business-costs-of-technical-debt.pdf
calculate-business-costs-of-technical-debt.pdfcalculate-business-costs-of-technical-debt.pdf
calculate-business-costs-of-technical-debt.pdfNicanor Sachahuaman
 
ubc_2012_fall_lim_erin2.en.es.pdf
ubc_2012_fall_lim_erin2.en.es.pdfubc_2012_fall_lim_erin2.en.es.pdf
ubc_2012_fall_lim_erin2.en.es.pdfNicanor Sachahuaman
 
Deuda Tecnica comparacion de herramientas.en.es.pdf
Deuda Tecnica comparacion de herramientas.en.es.pdfDeuda Tecnica comparacion de herramientas.en.es.pdf
Deuda Tecnica comparacion de herramientas.en.es.pdfNicanor Sachahuaman
 
Perspectiva de Deuda Tecnica.en.es.pdf
Perspectiva de Deuda Tecnica.en.es.pdfPerspectiva de Deuda Tecnica.en.es.pdf
Perspectiva de Deuda Tecnica.en.es.pdfNicanor Sachahuaman
 
Experiencia de Deuda Tecnica en Google.en.es.pdf
Experiencia de Deuda Tecnica en Google.en.es.pdfExperiencia de Deuda Tecnica en Google.en.es.pdf
Experiencia de Deuda Tecnica en Google.en.es.pdfNicanor Sachahuaman
 
Deuda Tecnica metafora para teoria y practica.en.es.pdf
Deuda Tecnica metafora para teoria y practica.en.es.pdfDeuda Tecnica metafora para teoria y practica.en.es.pdf
Deuda Tecnica metafora para teoria y practica.en.es.pdfNicanor Sachahuaman
 
reduce-tech-debt-eguide.en.es.pdf
reduce-tech-debt-eguide.en.es.pdfreduce-tech-debt-eguide.en.es.pdf
reduce-tech-debt-eguide.en.es.pdfNicanor Sachahuaman
 
Deuda tecnica en Lean Startup.en.es.pdf
Deuda tecnica en Lean Startup.en.es.pdfDeuda tecnica en Lean Startup.en.es.pdf
Deuda tecnica en Lean Startup.en.es.pdfNicanor Sachahuaman
 
guia_ciberseguridad_gestion_riesgos_metad.pdf
guia_ciberseguridad_gestion_riesgos_metad.pdfguia_ciberseguridad_gestion_riesgos_metad.pdf
guia_ciberseguridad_gestion_riesgos_metad.pdfNicanor Sachahuaman
 
Gestión de riesgos. Una guía de aproximación para el empresario _ INCIBE.pdf
Gestión de riesgos. Una guía de aproximación para el empresario _ INCIBE.pdfGestión de riesgos. Una guía de aproximación para el empresario _ INCIBE.pdf
Gestión de riesgos. Una guía de aproximación para el empresario _ INCIBE.pdfNicanor Sachahuaman
 
Fondo Mi vivienda y Techo Propio.pdf
Fondo Mi vivienda y Techo Propio.pdfFondo Mi vivienda y Techo Propio.pdf
Fondo Mi vivienda y Techo Propio.pdfNicanor Sachahuaman
 

Más de Nicanor Sachahuaman (15)

calculate-business-costs-of-technical-debt.pdf
calculate-business-costs-of-technical-debt.pdfcalculate-business-costs-of-technical-debt.pdf
calculate-business-costs-of-technical-debt.pdf
 
ubc_2012_fall_lim_erin2.en.es.pdf
ubc_2012_fall_lim_erin2.en.es.pdfubc_2012_fall_lim_erin2.en.es.pdf
ubc_2012_fall_lim_erin2.en.es.pdf
 
Deuda Tecnica comparacion de herramientas.en.es.pdf
Deuda Tecnica comparacion de herramientas.en.es.pdfDeuda Tecnica comparacion de herramientas.en.es.pdf
Deuda Tecnica comparacion de herramientas.en.es.pdf
 
Perspectiva de Deuda Tecnica.en.es.pdf
Perspectiva de Deuda Tecnica.en.es.pdfPerspectiva de Deuda Tecnica.en.es.pdf
Perspectiva de Deuda Tecnica.en.es.pdf
 
Experiencia de Deuda Tecnica en Google.en.es.pdf
Experiencia de Deuda Tecnica en Google.en.es.pdfExperiencia de Deuda Tecnica en Google.en.es.pdf
Experiencia de Deuda Tecnica en Google.en.es.pdf
 
Deuda Tecnica metafora para teoria y practica.en.es.pdf
Deuda Tecnica metafora para teoria y practica.en.es.pdfDeuda Tecnica metafora para teoria y practica.en.es.pdf
Deuda Tecnica metafora para teoria y practica.en.es.pdf
 
reduce-tech-debt-eguide.en.es.pdf
reduce-tech-debt-eguide.en.es.pdfreduce-tech-debt-eguide.en.es.pdf
reduce-tech-debt-eguide.en.es.pdf
 
Deuda tecnica en Lean Startup.en.es.pdf
Deuda tecnica en Lean Startup.en.es.pdfDeuda tecnica en Lean Startup.en.es.pdf
Deuda tecnica en Lean Startup.en.es.pdf
 
guia-csa1354629608.pdf
guia-csa1354629608.pdfguia-csa1354629608.pdf
guia-csa1354629608.pdf
 
ENISA-EuroCloud-Forum-2015.pptx
ENISA-EuroCloud-Forum-2015.pptxENISA-EuroCloud-Forum-2015.pptx
ENISA-EuroCloud-Forum-2015.pptx
 
guia_ciberseguridad_gestion_riesgos_metad.pdf
guia_ciberseguridad_gestion_riesgos_metad.pdfguia_ciberseguridad_gestion_riesgos_metad.pdf
guia_ciberseguridad_gestion_riesgos_metad.pdf
 
Gestión de riesgos. Una guía de aproximación para el empresario _ INCIBE.pdf
Gestión de riesgos. Una guía de aproximación para el empresario _ INCIBE.pdfGestión de riesgos. Una guía de aproximación para el empresario _ INCIBE.pdf
Gestión de riesgos. Una guía de aproximación para el empresario _ INCIBE.pdf
 
IT_Governance_Framework.pdf
IT_Governance_Framework.pdfIT_Governance_Framework.pdf
IT_Governance_Framework.pdf
 
Template Picth Elevator.pdf
Template Picth Elevator.pdfTemplate Picth Elevator.pdf
Template Picth Elevator.pdf
 
Fondo Mi vivienda y Techo Propio.pdf
Fondo Mi vivienda y Techo Propio.pdfFondo Mi vivienda y Techo Propio.pdf
Fondo Mi vivienda y Techo Propio.pdf
 

Último

Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilJuanGallardo438714
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxlosdiosesmanzaneros
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 

Último (15)

Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 

¡Fácil y sencillo! Análisis de riesgos en 6 pasos _ INCIBE.pdf

  • 1. 19/9/22, 13:12 ¡Fácil y sencillo! Análisis de riesgos en 6 pasos | INCIBE https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 1/10 Inicio (/) / Protege tu empresa (/protege-tu-empresa) / Blog (/protege-tu-empresa/blog) / ¡Fácil y sencillo! Análisis de riesgos en 6 pasos (https://www.facebook.com/sharer.php?u=https%3A//www.incibe.es/protege-tu- empresa/blog/analisis-riesgos-pasos- sencillo&t=%C2%A1F%C3%A1cil%20y%20sencillo%21%20An%C3%A1lisis%20de%20riesgos%20en%2 06%20pasos) (https://www.linkedin.com/shareArticle?mini=true&url=https%3A//www.incibe.es/protege-tu- empresa/blog/analisis-riesgos-pasos- sencillo&title=%C2%A1F%C3%A1cil%20y%20sencillo%21%20An%C3%A1lisis%20de%20riesgos%20en %206%20pasos&summary=&source=INCIBE) (https://twitter.com/share?url=https%3A//www.incibe.es/protege-tu-empresa/blog/analisis- riesgos-pasos- sencillo&via=INCIBE&related=&hashtags=&text=%C2%A1F%C3%A1cil%20y%20sencillo%21%20An%C 3%A1lisis%20de%20riesgos%20en%206%20pasos) (https://web.whatsapp.com/send? text=%C2%A1F%C3%A1cil%20y%20sencillo%21%20An%C3%A1lisis%20de%20riesgos%20en%206%2 0pasos%20https%3A//www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo) ¡Fácil y sencillo! Análisis de riesgos en 6 pasos (/protege-tu- empresa/blog/analisis-riesgos-pasos-sencillo) Publicado el 16/01/2017, por INCIBE  Las cookies ya han sido configuradas Ahora puede ocultar este mensaje o volver a configurar las cookies. Ocultar Gestión de Cookies
  • 2. 19/9/22, 13:12 ¡Fácil y sencillo! Análisis de riesgos en 6 pasos | INCIBE https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 2/10 Sin duda alguna, si queremos «empezar por el principio» en materia de ciberseguridad en nuestra empresa, el análisis de riesgos es uno de los trabajos más importantes a la hora de definir proyectos e iniciativas para la mejora de la seguridad de la información. Si consideramos que las herramientas tecnológicas y la información que manejamos son de gran valor para nuestra organización debemos empezar a pensar en poner en práctica un Plan Director de Seguridad (/protege-tu-empresa/que-te- interesa/plan-director-seguridad). El Plan Director de Seguridad (PDS) se puede simplificar como la definición y priorización de un conjunto de proyectos en materia de seguridad de la información, dirigido a reducir los riesgos a los que está expuesta la organización hasta unos niveles aceptables a partir de un análisis de la situación inicial. Llevar a cabo un buen análisis nos permitirá centrar nuestro foco de atención en los riesgos asociados a los sistemas, procesos y elementos dentro del alcance del PDS. De esta forma mitigaremos la posibilidad de tener algún tipo de incidente de ciberseguridad (/protege-tu- empresa/blog/filtro/testimonios). Por otra parte, también podemos obtener beneficios si realizamos un análisis de riesgos de forma aislada en lugar de llevarlo a cabo dentro de un contexto mayor como es el del desarrollo de un PDS. A continuación veremos de forma sencilla las principales tareas del análisis de riesgos, aportando recomendaciones prácticas sobre cómo llevarlo a cabo (/protege-tu-empresa/guias/gestion-riesgos- guia-empresario), y considerando algunas particularidades a tener en cuenta para que aporte el máximo valor al PDS. Cabe señalar que las fases o etapas que componen un análisis de riesgos dependen de la metodología escogida. En el caso que nos ocupa, hemos seleccionado un conjunto de fases que son comunes en la mayor parte de las metodologías para el análisis de riesgos. Fase 1. Definir el alcance El primer paso a la hora de llevar a cabo el análisis de riesgos, es establecer el alcance del estudio. Vamos a considerar que este análisis de riesgos forma parte del Plan Director de Seguridad. Por lo tanto, recomendamos que el análisis de riesgos cubra la totalidad del alcance del PDS, dónde se han seleccionado las áreas estratégicas sobre las que mejorar la seguridad. Por otra parte, también es posible definir un alcance más limitado atendiendo a departamentos, procesos o sistemas. Por  Las cookies ya han sido configuradas Ahora puede ocultar este mensaje o volver a configurar las cookies. Ocultar Gestión de Cookies
  • 3. 19/9/22, 13:12 ¡Fácil y sencillo! Análisis de riesgos en 6 pasos | INCIBE https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 3/10 ejemplo, análisis de riesgos sobre los procesos del departamento Administración, análisis de riesgos sobre los procesos de producción y gestión de almacén o análisis de riesgos sobre los sistemas TIC relacionados con la página web de la empresa, etc. En este caso práctico consideramos que el alcance escogido para el análisis de riesgos es “Los servicios y sistemas del Departamento Informática”. Fase 2. Identificar los activos Una vez definido el alcance, debemos identificar los activos más importantes que guardan relación con el departamento, proceso, o sistema objeto del estudio. Para mantener un inventario de activos sencillo puede ser suficiente con hacer uso de una hoja de cálculo o tabla como la que se muestra a continuación a modo de ejemplo: Fase 3. Identificar / seleccionar las amenazas Habiendo identificado los principales activos, el siguiente paso consiste en identificar las amenazas a las que estos están expuestos. Tal y como imaginamos, el conjunto de amenazas es amplio y diverso por lo que debemos hacer un esfuerzo en mantener un enfoque práctico y aplicado. Por ejemplo, si nuestra intención es evaluar el riesgo que corremos frente a la destrucción de nuestro servidor de ficheros, es conveniente, considerar las averías del servidor, la posibilidad de daños por agua (rotura de una cañería) o los daños por fuego, en lugar de plantearnos el riesgo de que el CPD sea destruido por un meteorito. A la hora de identificar las amenazas, puede ser útil tomar como punto de partida el catálogo de amenazas que incluye la metodología MAGERIT v3 . Fase 4. Identificar vulnerabilidades y salvaguardas La siguiente fase consiste en estudiar las características de nuestros activos para identificar puntos débiles o vulnerabilidades. Por ejemplo, una posible vulnerabilidad puede ser identificar un conjunto de ordenadores o servidores cuyo sistemas antivirus no están actualizados o una serie de activos para los que no existe soporte ni mantenimiento por parte del fabricante. Posteriormente, a la hora de evaluar el riesgo aplicaremos penalizaciones para reflejar las vulnerabilidades identificadas.  Las cookies ya han sido configuradas Ahora puede ocultar este mensaje o volver a configurar las cookies. Ocultar Gestión de Cookies
  • 4. 19/9/22, 13:12 ¡Fácil y sencillo! Análisis de riesgos en 6 pasos | INCIBE https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 4/10 Por otra parte, también analizaremos y documentaremos las medidas de seguridad implantadas en nuestra organización. Por ejemplo, es posible que hayamos instalado un sistema SAI (Sistema de Alimentación Ininterrumpida) o un grupo electrógeno para abastecer de electricidad a los equipos del CPD. Ambas medidas de seguridad (también conocidas como salvaguardas) contribuyen a reducir el riesgo de las amenazas relacionadas con el corte de suministro eléctrico. Estas consideraciones (vulnerabilidades y salvaguardas) debemos tenerlas en cuenta cuando vayamos a estimar la probabilidad y el impacto como veremos en la siguiente fase. Fase 5. Evaluar el riesgo Llegado a este punto disponemos de los siguientes elementos: Inventario de activos. Conjunto de amenazas a las que está expuesta cada activo. Conjunto de vulnerabilidades asociadas a cada activo (si corresponde). Conjunto de medidas de seguridad implantadas Con esta información, nos encontramos en condiciones de calcular el riesgo. Para cada par activo- amenaza, estimaremos la probabilidad de que la amenaza se materialice y el impacto sobre el negocio que esto produciría. El cálculo de riesgo se puede realizar usando tanto criterios cuantitativos como cualitativos. Pero para entenderlo mejor, veremos a modo de ejemplo las tablas para estimar los factores probabilidad e impacto. Tabla para el cálculo de la probabilidad  Las cookies ya han sido configuradas Ahora puede ocultar este mensaje o volver a configurar las cookies. Ocultar Gestión de Cookies
  • 5. 19/9/22, 13:12 ¡Fácil y sencillo! Análisis de riesgos en 6 pasos | INCIBE https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 5/10 Tabla para el cálculo del impacto Cálculo del riesgo A la hora de calcular el riesgo, si hemos optado por hacer el análisis cuantitativo, calcularemos multiplicando los factores probabilidad e impacto: RIESGO = PROBABILIDAD x IMPACTO. Si por el contrario hemos optado por el análisis cualitativo, haremos uso de una matriz de riesgo como la que se muestra a continuación: Tal y como indicábamos en el apartado anterior, cuando vayamos a estimar la probabilidad y el impacto debemos tener en cuenta las vulnerabilidades y salvaguardas existentes. Por ejemplo, la caída del servidor principal podría tener un impacto alto para el negocio. Sin embargo, si existe una solución de alta disponibilidad (Ej. Servidores redundados), podemos considerar que el impacto será medio ya que estas medidas de seguridad harán que los procesos de negocio no se vean gravemente afectados por la caída del servidor. Si por el contrario hemos identificado vulnerabilidades asociadas al activo, aplicaremos una penalización a la hora de estimar el impacto. Por ejemplo, si los equipos de climatización del CPD no han recibido el mantenimiento recomendado por el fabricante, incrementaremos el impacto de amenazas como “condiciones ambientales inadecuadas” o “malfuncionamiento de los equipos debido a altas temperaturas”. Fase 6. Tratar el riesgo  Las cookies ya han sido configuradas Ahora puede ocultar este mensaje o volver a configurar las cookies. Ocultar Gestión de Cookies
  • 6. 19/9/22, 13:12 ¡Fácil y sencillo! Análisis de riesgos en 6 pasos | INCIBE https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 6/10 Etiquetas: Una vez calculado el riesgo, debemos tratar aquellos riesgos que superen un límite que nosotros mismos hayamos establecido. Por ejemplo, trataremos aquellos riesgos cuyo valor sea superior a “4” o superior a “Medio” en caso de que hayamos hecho el cálculo en términos cualitativos. A la hora de tratar el riesgo, existen cuatro estrategias principales: Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro (/protege-tu- empresa/blog/porque-veces-pasa-y-si-contrato-ciberseguro)que cubra los daños a terceros ocasionados por fugas de información. Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que está sujeto a un riesgo elevado. En el caso práctico que hemos expuesto, podríamos eliminar la wifi de cortesía para dar servicio a los clientes si no es estrictamente necesario. Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de instalar un grupo electrógeno puede ser demasiado alto y por tanto, la organización puede optar por asumir. Implantar medidas para mitigarlo. Por ejemplo, contratando un acceso a internet de respaldo para poder acceder a los servicios en la nube en caso de que la línea principal haya caído. Por último, cabe señalar que como realizamos este análisis de riesgos en el contexto de un PDS (Plan Director de Seguridad), las acciones e iniciativas para tratar los riesgos pasarán a formar parte del mismo. Por lo tanto, deberemos clasificarlas y priorizarlas considerando el resto de proyectos que forman parte del PDS. Asimismo, tal y como indicábamos en la introducción, llevar a cabo un análisis de riesgos nos proporciona información de gran valor y contribuye en gran medida a mejorar la seguridad de nuestra organización. Dada esta situación, animamos a nuestros lectores a llevar a cabo este tipo de proyectos ya bien sea de forma aislada o dentro del contexto de un proyecto mayor como es el caso del Plan Director de Seguridad. Amenazas (/protege-tu-empresa/blog/filtro/amenazas) Empresa (/protege-tu-empresa/blog/filtro/empresa) Plan director (/protege-tu-empresa/blog/filtro/plan-director) Artículos relacionados › (/protege-tu-empresa/blog/analisis-riesgos- pasos-sencillo?page=1)  Las cookies ya han sido configuradas Ahora puede ocultar este mensaje o volver a configurar las cookies. Ocultar Gestión de Cookies
  • 7. 19/9/22, 13:12 ¡Fácil y sencillo! Análisis de riesgos en 6 pasos | INCIBE https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 7/10 Elisa Vivancos (INCIBE) (/autor/elisa-vivancos-incibe) | 06/09/2022 Los 10 vectores de ataque más utilizados por los ciberdelincuentes (/protege-tu- empresa/blog/los-10-vectores- ataque-mas-utilizados-los- ciberdelincuentes) Pablo Gracia Álvarez (INCIBE) (/autor/pablo-gracia-alvarez- incibe) | 02/08/2022 Historia real: SIM swapping, de estar sin cobertura a estar sin dinero en el banco (/protege-tu- empresa/blog/historia-real-sim- swapping-estar-cobertura-estar- dinero-el-banco) Elisa Vivancos (INCIBE) (/autor/elisa-vivancos-incibe) | 05/07/2022 Transforma tu pyme con ciberresiliencia siguiendo los consejos de ENISA (/protege-tu- empresa/blog/transforma-tu- pyme-ciberresiliencia-siguiendo- los-consejos-enisa) (/protege-tu-empresa/blog/los- 10-vectores-ataque-mas- utilizados-los-ciberdelincuentes) (/protege-tu- empresa/blog/historia-real-sim- swapping-estar-cobertura- estar-dinero-el-banco) (/protege-tu- empresa/blog/transforma-tu- pyme-ciberresiliencia- siguiendo-los-consejos-enisa)  Las cookies ya han sido configuradas Ahora puede ocultar este mensaje o volver a configurar las cookies. Ocultar Gestión de Cookies
  • 8. 19/9/22, 13:12 ¡Fácil y sencillo! Análisis de riesgos en 6 pasos | INCIBE https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 8/10 (https://www.facebook.com/sharer.php?u=https%3A//www.incibe.es/protege-tu- empresa/blog/analisis-riesgos-pasos- sencillo&t=%C2%A1F%C3%A1cil%20y%20sencillo%21%20An%C3%A1lisis%20de%20riesgos%20en% 206%20pasos) (https://www.linkedin.com/shareArticle?mini=true&url=https%3A//www.incibe.es/protege-tu- empresa/blog/analisis-riesgos-pasos- sencillo&title=%C2%A1F%C3%A1cil%20y%20sencillo%21%20An%C3%A1lisis%20de%20riesgos%20e n%206%20pasos&summary=&source=INCIBE) (https://twitter.com/share?url=https%3A//www.incibe.es/protege-tu-empresa/blog/analisis- riesgos-pasos- sencillo&via=INCIBE&related=&hashtags=&text=%C2%A1F%C3%A1cil%20y%20sencillo%21%20An% C3%A1lisis%20de%20riesgos%20en%206%20pasos) (https://web.whatsapp.com/send? text=%C2%A1F%C3%A1cil%20y%20sencillo%21%20An%C3%A1lisis%20de%20riesgos%20en%206%2 0pasos%20https%3A//www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo) Ir atrás  Avisos de seguridad (/protege-tu-empresa/avisos-seguridad) Blog (/protege-tu-empresa/blog) Te Ayudamos (/protege-tu-empresa/te-ayudamos) SECtoriza2 (/protege-tu-empresa/sectoriza2) TemáTICas (/protege-tu-empresa/tematicas) ¿Qué te interesa? (/protege-tu-empresa/que-te-interesa) Herramientas (/protege-tu-empresa/herramientas) Formación (/protege-tu-empresa/formacion) Guías (/protege-tu-empresa/guias) Tu Ayuda en Ciberseguridad ¿Has tenido un incidente de ciberseguridad? Contáctanos. (https://www.incibe.es/linea-de-ayuda-en- ciberseguridad) ¿Aplicas el RGPD? ¡Las claves para cumplirlo y conseguir más confianza en tu negocio! (https://www.incibe.es/protege-tu- empresa/rgpd-para-pymes) ¡A la carta! ¿Sabes cómo se protegen las empresas de tu sector? (https://itinerarios.incibe.es/)  Las cookies ya han sido configuradas Ahora puede ocultar este mensaje o volver a configurar las cookies. Ocultar Gestión de Cookies
  • 9. 19/9/22, 13:12 ¡Fácil y sencillo! Análisis de riesgos en 6 pasos | INCIBE https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 9/10 (https://www.incibe.es/) (https://www.incibe- cert.es/) (https://www.incibe.es/protege-tu-empresa) (https://www.osi.es/es) (https://www.is4k.es/) (https://cybercamp.es/) NIPO: 094-20-021-3 Síguenos en: (https://twitter.com/protegeempresa) (https://www.linkedin.com/company/11487533/) (https://www.facebook.com/protegetuempresa/) (https://www.pinterest.es/protegetuempresa/) (https://europa.eu/next-generation-eu/index_es) (http://www.mineco.gob.es/) (https://planderecuperacion.gob.es/) (https://espanadigital.gob.es/) (/sites/default/files/certificado_ens_25102021.pdf) (/sites/default/files/certificado_sgsi_26102021.pdf) (/sites/default/files/certificado_sgc_08112021.pdf) Contacto (/contacto) Transparencia (/transparencia) Perfil del contratante (/perfil-contratante-y-transparencia) Empleo (/empleo) Política de cookies (/politica-cookies) Política de Protección de Datos Personales (/proteccion-datos-personales) Aviso legal (/aviso-legal) Declaración de accesibilidad (/declaracion-de-accesibilidad) Configurar cookies (/)  Las cookies ya han sido configuradas Ahora puede ocultar este mensaje o volver a configurar las cookies. Ocultar Gestión de Cookies
  • 10. 19/9/22, 13:12 ¡Fácil y sencillo! Análisis de riesgos en 6 pasos | INCIBE https://www.incibe.es/protege-tu-empresa/blog/analisis-riesgos-pasos-sencillo 10/10