SlideShare una empresa de Scribd logo

Tema 2: Análisis de Riesgos

Francisco Medina
Francisco Medina

Tema 2: Análisis de Riesgos

Educación
1 de 67
Descargar para leer sin conexión
Seguridad Inform´atica Tema 2. An´alisis de Riesgos Francisco Medina L´opez – paco.medina@comunidad.unam.mx Facultad de Contadur´ıa y Administraci´on Universidad Nacional Aut´onoma de M´exico 2021-1
Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
Importancia de la Administraci´on del Riesgo INFOSEC ROCK STAR. How to accelerate your carrer because geek will only get you so far,Ted Demopoulous
Fuentes de requisitos de seguridad de la informaci´on 1 Evaluaci´on de los riegos para la organizaci´on, teniendo en cuenta las estrat´egias y objetivos del negocio. 2 Requisitos legales y contractuales que una organiaci´on , sus socios comerciales y proveedores de servicios tienen que satisfacer, y su entorno sociocultural. 3 Conjunto de principios, objetivos y requerimientos del negocio para el manejo, procesamiento, almacenamiento, comunicaci´on y archivo de informaci´on que una organizaci´on desarrolla para dar soporte a sus operaciones.
Riesgo Definici´on Posibilidad de que un agente de amenaza se aproveche de una vulnerabildad y de su correspondiente impacto en el negocio. Ejemplos: • Sin un firewall tiene varios puertos abiertos, hay mayor probabilidad de que un instruso utilice uno de los puertos para acceder a la red de una manera no autorizada. • Si lo usuarios no est´an educados en los procesos y procedimientos, hay una mayor probabilidad de que un empleado pueda cometer una falta mal intencionada o no y destruir datos.
Elementos del riesgo Impacto P´erdida ocasionada por la materializaci´on del riesgo. Si no hay efectos negativos no hay riesgo. Grado de materializaci´on Certeza sobre la ocurrencia del riesgo.
Diferencia entre preocupaci´on, riesgo y problema
¿Qu´e es la Administraci´on de Riesgo? Definici´on Proceso de planificar, organizar, dirigir, y controlar las actividades de una organizaci´on con el fin de minimizar los efectos negativos del riesgo sobre el capital y los ingresos de una organziaci´on. • La administraci´on de riesgos es un proceso continuo que se aplica a todos los aspectos de los procesos operativos de una organizaci´on. • La tarea de supervisar este proceso la lleva a cabo un especialista en seguridad de la informaci´on, que puede ser el Oficial de Seguridad de la Informaci´on (CISO, Chief Information Security Officer).
Est´andares relativos a la administraci´on del riesgo • ISO / IEC 31000:2018 Gesti´on del Riesgo – Directrices. • ISACA’s Risk IT Framework. • The open Group’s Factor Analysis for Information Risk (FAIR) model. • Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE). • MAGERIT metodolog´ıa de car´acter p´ublico perteneciente al Ministerio de Administraciones P´ublicas de Espa˜na. • NIST Publicaci´on Especial 800-30. • Facilitated Risk Analysis and Assesment Process (FRAAP).
ISO/IEC 31000:2018
Establecer alcance, contexto y criterios Prop´osito Definir el alcance del proceso, y comprender los contextos externo e interno.
Evaluaci´on del riesgo Definici´on Proceso global de identificaci´on, an´alisis y valoraci´on del riesgo. Objetivos: 1 Encontrar, reconocer y describir los riesgos que impiden a una organizaci´on lograr sus objetivos (Identifcar riesgos), 2 Comprender la naturaleza del riesgo y sus caracter´ısticas incluyendo el nivel de riesgo (Analizar riesgos) y 3 Comparar los resultados del an´alisis de riesgos con los criterios del riesgo establecido para determinar cuando se requiere una acci´on adicional (Valorar riesgos).
Tratamiento del riesgo Definici´on Implementar opciones para abordar el riesgo. Es un proceso iterativo que implica: • Formular y seleccionar opciones para el tratamiento del riego; • Planificar e implementar el tratamiento del riesgo; • Evaluar la eficacia del tratamiento; • Decidir si el riesgo residual es aceptable.
Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
Amenazas Definici´on Posible causa de un incidente no deseado que puede resultar en da˜nos a un sistema u organizaci´on. • La entidad que se aprovecha de una vulnerabildad se denomina agente de amenaza. • Un intruso que accede a la red a trav´es de un puerto en el firewall. • Un proceso de acceso a los datos de manera que viola la pol´ıtica de seguridad. • Un tornado acabando con una instalaci´on. • Un empleado haciendo un error involuntario que podr´ıa exponer informaci´on confidencia.
Tipos de amanezas
Clasificaci´on de las amenazas
Ejemplos de amenazas
Vulnerabilidad Definici´on Debilidad de un activo o grupo de activos que puede ser explotado por una o m´as amenazas. • Se caracteriza por la ausencia o debilidad de un control que podr´ıa ser explotada. • Un servicio que se ejecuta en un servidor. • Aplicaciones sin parches o sistemas operativos sin actualizaciones. • Un puerto abierto en un firewall. • M´odem inal´ambrico sin restricciones. • Falta de seguridad f´ısica que permite que cualquiera pueda entrar en cuarto de servidores. • D´ebil administraci´on de contrase˜nas de servidores y estaciones de trabajo.
Fuentes de divulgaci´on de vulnerabilidades • The NVD: https://nvd.nist.gov/vuln/search • CVE Details: https://www.cvedetails.com/
Vulnerabilidades reportadas por a˜no Enlace
Vulnerabilidades por fabricante Enlace
Vulnerabilidades por tipo de software
Top 10 Vulnerabilidades por producto
Tipos de vulnerabilidades m´as frecuentes • Vulnerabilidades de configuraci´on; • Validaci´on de entrada; • Salto de directorio; • Inyecci´on de comandos en el sistema operativo; • Inyecci´on SQL; • Error de b´ufer; • Fallo de autenticaci´on; • Error en la gesti´on de recursos; • Error de dise˜no;
Malware Definici´on Programas dise˜nados para acceder a un sistema inform´atico de forma no autorizada y provocar da˜nos a este. Objetivos: • Destrucci´on o modificaci´on de informaci´on. • Robo de informaci´on y claves de acceso. • Propagaci´on a otros equipos de una misma red o a trav´es de internet. • Introducir publicidad de forma masiva. • Comprometer la integridad de las aplicaciones y sistemas operativos.
Tipos de malware 1 Virus. 2 Cookies. 3 Troyanos. 4 Keylooger. 5 Spyware. 6 Gusanos (worms). 7 Ransoware.
Herramientas en l´ınea para an´alisis de malware https://www.virustotal.com/gui/ https://id-ransomware.malwarehunterteam.com/
Relaci´on amenazas y vulnerabilidades
Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
Probabilidad Definici´on Estimaci´on de posibilidades de que se materialce el riesgo o, lo que es lo mismo, que se produzca una amenaza real. • La probabilidad de ocurrencia de una amenaza est´a determinada por un an´alisis de vulnerabilidades.
Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
Clasificaci´on de Activos Definici´on Cualqueir cosa que tenga valor para la organizaci´on. 1 Tangibles • Datos • Software • Computadoras, equipos de comunicaciones, cableado. 2 Intangibles • Privacidad • Seguridad y salud de los empleados • Imagen y reputaci´on • Continuidad de las actividades • Moral del empleado
Valor de los activos • La importance de los activos de un sistema de informaci´on depender´a de su valoraci´on. Si un activo no tiene valor, es completamnte prescindible. • Por otra parte, si un activo es necesario para el correcto funcionamiento del sistema, es que tiene cierto valor. • La valoraci´on del activo viene definida como el costo que implicar´a recuperarse de un fallo del activo provocado por alguna incidencia.
Factores para valorar un activo 1 Costo del personal espacializado necesario para recuperar el activo (Costo de mano de obra). 2 Los ingresos perdidos por el fallo del activo. 3 Costo de adquisici´on e instalaci´on de un activo nuevo en caso de que el anterior haya resultado inservible (Costo de recuperaci´on). 4 P´erdida de percepci´on de confianza y calidad de los clientes y proveedores provocados por una interrupci´on del servicio provocada por el fallo del activo. 5 Infracciones cometidas y sanciones correspondientes al incumplimiento de requierimientos legales o de obligaciones contractuales debidas al fallo del activo. 6 Da˜nos y efectos perjudiciales provocados por el activo a otros activos, tanto propios como ajenos a la organizaci´on. 7 Da˜nos medioambientales causados por el activo. 8 Da˜nos a otras personas causadas por el activo.
Ejemplo: P´erdida de percepci´on de confianza Fuente: Grupo de Facebook ”Facultad de Contadur´ıa y Administraci´on (FCA-UNAM)”.
Tipos de valoraci´on de activos Auditoria de seguridad inform´atica
Dimensiones de valoraci´on de los activos 1 Disponibilidad • ¿Cu´al ser´ıa la importancia del activo si no estuviera disponible? 2 Integridad • ¿Qu´e importancia tendr´ıa que el activo sufriera modificaciones? 3 Confidencialidad • ¿Cu´al ser´ıa la importancia del conocimiento del activo por usuarios no autorizados? 4 Autenticidad • ¿Cu´al ser´ıa la importancia del acceso al activo por parte de personas no autorizadas? 5 Trazabilidad • ¿Cu´al ser´ıa la importancia de la falta de constancia de la utilizaci´on del activo?
Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
Introducci´on 1 An´alisis Cualitativo de Riesgos • Utiliza elementos de la organizaci´on como opini´on, mejores pr´acticas, intuici´on, experiencia, etc. para ponderar el riesgo y sus componentes. • Aplicable a todas las situaciones 2 An´alisis Cuantitativo de Riesgos • Asigna valores monetarios (objetivos) a cada componente de la evaluaci´on de riesgos y a cada potencial p´erdida.
An´alisis Cualitativo de Riesgos Definici´on Modelo basado en escenarios mas que en c´alculos. • En lugar de asignar el costo exacto respecto de las posibles p´erdidas, en este escenario se ponderan en escala, los riesgos, costos y efectos de una amenaza en relaci´on del activo. • Este tipo de procesos, conjuga: juicio, experiencia e intuici´on. • T´ecnicas y M´etodos utilizados: • Lluvia de ideas (Brainstorming), T´enicas Delphi, Cuestionarios, Listas (Checklist), Entrevistas, . . .
Pasos del An´alisis Cualitativo de Riesgos 1 Definici´on de: • Niveles de probabilidad de ocurrencia de las amenazas • Niveles de impacto de las amenazas • Niveles de riesgo (en funci´on a las anteriores) 2 Clasificaci´on de las amenazas en cuanto a su probabilidad de ocurrencia e impacto. 3 Estimaci´on del riesgo
Probabilidad de ocurrencia
Impacto
An´alisis Cuantitativo de Riesgos Definici´on Asigna valores monetarios a cada componente de la evaluaci´on de riesgos y a cada potencial p´erdida. Pasos: 1 Asignar valores a los activos. 2 Estimar la p´erdida potencial por cada amenaza. 3 Analizar las amenazas. 4 Estimar la p´erdida anual.
Matriz de evaluaci´on de riesgo
Resultado An´alisis de Riesgos
Ejemplo: Matriz an´alisis de riesgo Fuente: http://protejete.wordpress.com/gdr_principal/matriz_riesgo/
Resultados del An´alisis Cuantitativo de Riesgos? • Valor de los activos (en dinero). • Posibles amenazas a los activos. • Probabilidad de ocurrencia de cada amenaza. • Posible p´erdida anual por cada amenaza.
Cuantitativo vs Cualitativo (2)
Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
Estimar la p´erdida potencial por cada amenaza • Factor de Exposici´on (EF): Porcentaje de p´erdida que una amenaza podr´ıa tener sobre un determinado activo. • Expectativa de P´erdida Individual (SLE): Valor monetario asociado a un evento determinado. Representa la p´erdida producida por una amenaza determinada en forma individual.
Tasa de Ocurrencia Anual (ARO) • Tasa de Ocurrencia Anual (ARO): Representa la frecuencia estimada de ocurrencia de un evento (amenaza), dentro del periodo de un a˜no.
Estimar la p´erdida anual • Expectativa de P´erdida Anualizada (ALE): Representa la p´erdida anual producida por una amenaza determinada individual..
C´alculo de expectativa de p´erdida anual (ALE)
Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
Estrategias para tratar los Riesgos 1 Mitigar: Implementar controles para reducir el nivel de riesgo. 2 Aceptar: Se acepta el riesgo en su nivel actual. 3 Transferir: Compartir el riesgo con partes externas. 4 Evitar: Cancelar la actividad que genera el riesgo.
Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
Control o contramedida Definici´on Cualquier tipo de mecanismo que permita identificar, proteger, detectar, responder o minimizar el riesgo asociado con la ocurrencia de una amenaza espec´ıfica. Objetivo: • Reducir los efectos producidos por las amenazas de seguridad (threats) y vulnerabilidades (vulnerabilities) a un nivel tolerable para una organizaci´on. Los controles o contramedidas pueden ser: • Preventivos / De detecci´on / Correctivos / De respuesta / De recuperaci´on. • F´ısicos / T´ecnicos (L´ogicos) / Administrativos
Tratamiento de los Riesgos Cada organizaci´on debe definir y efectuar un proceso de tratamiento de los riesgos de seguridad para: • Seleccionar las opciones adecuadas de tratamiento de riesgos de seguridad de la informaci´on teniendo en cuenta los resultados de la apreciaci´on de riesgos. • Determinar todos los controles que sean necesarios para implementar la(s) opci´on(es) elegida(s) de tratamiento de riesgos de seguridad de la informaci´on.
Familia de controles de acuerdo al NIST NIST Security and Privacy Controls forInformation Systems and Organizations Enlace .
Familia de controles de acuerdo al ISO 27001 ISO/IEC 27001:2013 Enlace .
Controles T´ecnicos de Seguridad
Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
Plan de Tratamiento de Riesgos
Referencias bibliogr´aficas Comptia Security+ All-In-One Exam Guide, Fifth Edition (Exam Sy0-501) CHICANO Tejada, Ester., Auditor´ıa de seguridad inform´atica., 2014.

Recomendados

Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosHECTOR JAVIER
 
Metodologías para el desarrollo de sistemas
Metodologías para el desarrollo de sistemasMetodologías para el desarrollo de sistemas
Metodologías para el desarrollo de sistemas
UNEFA
 
Evento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la InformaciónEvento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la Información
J. Gustavo López
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power pointlinda gonzalez
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
PECB
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad Informática
Juan Manuel García
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 

Recomendados

Seguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosSeguridad En Sistemas Distribuidos
Seguridad En Sistemas DistribuidosHECTOR JAVIER
 
Metodologías para el desarrollo de sistemas
Metodologías para el desarrollo de sistemasMetodologías para el desarrollo de sistemas
Metodologías para el desarrollo de sistemas
UNEFA
 
Evento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la InformaciónEvento vs Incidente de Seguridad de la Información
Evento vs Incidente de Seguridad de la Información
J. Gustavo López
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power pointlinda gonzalez
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
PECB
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad Informática
Juan Manuel García
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
Seguridad de los Sistemas Operativos
Seguridad de los Sistemas OperativosSeguridad de los Sistemas Operativos
Seguridad de los Sistemas Operativos
steevenjose
 
Powerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativosPowerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativos
Adriana Rodriguez
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
Magerit
MageritMagerit
MageritKrolina Agui
 
ADMINISTRACIÓN DE LA SEGURIDAD EN SQL SERVER
ADMINISTRACIÓN DE LA SEGURIDAD EN SQL SERVERADMINISTRACIÓN DE LA SEGURIDAD EN SQL SERVER
ADMINISTRACIÓN DE LA SEGURIDAD EN SQL SERVER
INGRID LESLY CORONEL ACUÑA
 
Pentesting
PentestingPentesting
Pentesting
Eventos Creativos
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
Ricardo Urbina Miranda
 
Norma ISO/IEC 9126 y Métrica de Calidad del Software
Norma ISO/IEC 9126 y Métrica de Calidad del Software Norma ISO/IEC 9126 y Métrica de Calidad del Software
Norma ISO/IEC 9126 y Métrica de Calidad del Software
ehe ml
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Principios de la Seguridad Informática
Principios de la Seguridad InformáticaPrincipios de la Seguridad Informática
Principios de la Seguridad Informática
franka99
 
Virtual Box
Virtual BoxVirtual Box
Virtual Box
urumisama
 
SGSI
SGSISGSI
SGSI
Alessa Paredes
 
Gobierno de TI
Gobierno de TIGobierno de TI
Gobierno de TI
Doris Suquilanda
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Aniusm
 
Un sistema de información (si) es
Un sistema de información (si) esUn sistema de información (si) es
Un sistema de información (si) es
milagros torres de benavides
 
INGENIERIA SOCIAL
INGENIERIA SOCIALINGENIERIA SOCIAL
INGENIERIA SOCIAL
Enmer Genaro Leandro Ricra
 
SEGURIDAD DE BASE DE DATOS
SEGURIDAD DE BASE DE DATOSSEGURIDAD DE BASE DE DATOS
SEGURIDAD DE BASE DE DATOS
Angel Feijo
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Sesión 1.0. Definiciones del Ethical Hacking
Sesión 1.0. Definiciones del Ethical HackingSesión 1.0. Definiciones del Ethical Hacking
Sesión 1.0. Definiciones del Ethical Hacking
Cesar Jesus Chavez Martinez
 
Tema3 d
Tema3 dTema3 d
Tema3 dRosendo Patoni
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 

Más contenido relacionado

La actualidad más candente

Seguridad de los Sistemas Operativos
Seguridad de los Sistemas OperativosSeguridad de los Sistemas Operativos
Seguridad de los Sistemas Operativos
steevenjose
 
Powerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativosPowerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativos
Adriana Rodriguez
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaPedro Cobarrubias
 
ADMINISTRACIÓN DE LA SEGURIDAD EN SQL SERVER
ADMINISTRACIÓN DE LA SEGURIDAD EN SQL SERVERADMINISTRACIÓN DE LA SEGURIDAD EN SQL SERVER
ADMINISTRACIÓN DE LA SEGURIDAD EN SQL SERVER
INGRID LESLY CORONEL ACUÑA
 
Pentesting
PentestingPentesting
Pentesting
Eventos Creativos
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
Ricardo Urbina Miranda
 
Norma ISO/IEC 9126 y Métrica de Calidad del Software
Norma ISO/IEC 9126 y Métrica de Calidad del Software Norma ISO/IEC 9126 y Métrica de Calidad del Software
Norma ISO/IEC 9126 y Métrica de Calidad del Software
ehe ml
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
Jessicakatherine
 
Principios de la Seguridad Informática
Principios de la Seguridad InformáticaPrincipios de la Seguridad Informática
Principios de la Seguridad Informática
franka99
 
Virtual Box
Virtual BoxVirtual Box
Virtual Box
urumisama
 
Gobierno de TI
Gobierno de TIGobierno de TI
Gobierno de TI
Doris Suquilanda
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
Aniusm
 
Un sistema de información (si) es
Un sistema de información (si) esUn sistema de información (si) es
Un sistema de información (si) es
milagros torres de benavides
 
INGENIERIA SOCIAL
INGENIERIA SOCIALINGENIERIA SOCIAL
INGENIERIA SOCIAL
Enmer Genaro Leandro Ricra
 
SEGURIDAD DE BASE DE DATOS
SEGURIDAD DE BASE DE DATOSSEGURIDAD DE BASE DE DATOS
SEGURIDAD DE BASE DE DATOS
Angel Feijo
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Sesión 1.0. Definiciones del Ethical Hacking
Sesión 1.0. Definiciones del Ethical HackingSesión 1.0. Definiciones del Ethical Hacking
Sesión 1.0. Definiciones del Ethical Hacking
Cesar Jesus Chavez Martinez
 

La actualidad más candente (20)

Seguridad de los Sistemas Operativos
Seguridad de los Sistemas OperativosSeguridad de los Sistemas Operativos
Seguridad de los Sistemas Operativos
 
Powerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativosPowerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativos
 
Estándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad InformáticaEstándares Internacionales de Seguridad Informática
Estándares Internacionales de Seguridad Informática
 
Magerit
MageritMagerit
Magerit
 
ADMINISTRACIÓN DE LA SEGURIDAD EN SQL SERVER
ADMINISTRACIÓN DE LA SEGURIDAD EN SQL SERVERADMINISTRACIÓN DE LA SEGURIDAD EN SQL SERVER
ADMINISTRACIÓN DE LA SEGURIDAD EN SQL SERVER
 
Pentesting
PentestingPentesting
Pentesting
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
 
Norma ISO/IEC 9126 y Métrica de Calidad del Software
Norma ISO/IEC 9126 y Métrica de Calidad del Software Norma ISO/IEC 9126 y Métrica de Calidad del Software
Norma ISO/IEC 9126 y Métrica de Calidad del Software
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Principios de la Seguridad Informática
Principios de la Seguridad InformáticaPrincipios de la Seguridad Informática
Principios de la Seguridad Informática
 
Virtual Box
Virtual BoxVirtual Box
Virtual Box
 
SGSI
SGSISGSI
SGSI
 
Gobierno de TI
Gobierno de TIGobierno de TI
Gobierno de TI
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Un sistema de información (si) es
Un sistema de información (si) esUn sistema de información (si) es
Un sistema de información (si) es
 
INGENIERIA SOCIAL
INGENIERIA SOCIALINGENIERIA SOCIAL
INGENIERIA SOCIAL
 
SEGURIDAD DE BASE DE DATOS
SEGURIDAD DE BASE DE DATOSSEGURIDAD DE BASE DE DATOS
SEGURIDAD DE BASE DE DATOS
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
 
Sesión 1.0. Definiciones del Ethical Hacking
Sesión 1.0. Definiciones del Ethical HackingSesión 1.0. Definiciones del Ethical Hacking
Sesión 1.0. Definiciones del Ethical Hacking
 
Tema3 d
Tema3 dTema3 d
Tema3 d
 

Similar a Tema 2: Análisis de Riesgos

Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
Andres Soto Suarez
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Saeta de Dios
 
Analisis gestion de riesgos
Analisis gestion de riesgosAnalisis gestion de riesgos
Analisis gestion de riesgos
mendozanet
 
4743467 (4).ppt
4743467 (4).ppt4743467 (4).ppt
4743467 (4).ppt
CarmenKeim2
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
MICHELCARLOSCUEVASSA
 
Importancia de medir el riesgo operativo SEGUROS.pdf
Importancia de medir el riesgo operativo SEGUROS.pdfImportancia de medir el riesgo operativo SEGUROS.pdf
Importancia de medir el riesgo operativo SEGUROS.pdf
msotelo2
 
Evaluación del riesgo tecnologías informáticas.pdf
Evaluación del riesgo tecnologías informáticas.pdfEvaluación del riesgo tecnologías informáticas.pdf
Evaluación del riesgo tecnologías informáticas.pdf
GuillermoBarquero7
 
Taller EFC-Auditoría
Taller EFC-AuditoríaTaller EFC-Auditoría
Taller EFC-Auditoría
Luis Fernando Aguas Bucheli
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos Informaticos
Byron Zurita
 
Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790
albertodiego26
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
Primala Sistema de Gestion
 
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
Luis Fernando Aguas Bucheli
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
Miguel Cabrera
 
Presentación análisis y administración de riesgo
Presentación análisis y administración de riesgoPresentación análisis y administración de riesgo
Presentación análisis y administración de riesgo
Anel García Pumarino
 

Similar a Tema 2: Análisis de Riesgos (20)

Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de Riesgos
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]
 
Tratamiento de riesgo
Tratamiento de riesgoTratamiento de riesgo
Tratamiento de riesgo
 
Analisis gestion de riesgos
Analisis gestion de riesgosAnalisis gestion de riesgos
Analisis gestion de riesgos
 
4743467 (4).ppt
4743467 (4).ppt4743467 (4).ppt
4743467 (4).ppt
 
Taller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_RiesgosTaller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_Riesgos
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgos
 
Gestión Riesgos
Gestión RiesgosGestión Riesgos
Gestión Riesgos
 
Importancia de medir el riesgo operativo SEGUROS.pdf
Importancia de medir el riesgo operativo SEGUROS.pdfImportancia de medir el riesgo operativo SEGUROS.pdf
Importancia de medir el riesgo operativo SEGUROS.pdf
 
Evaluación del riesgo tecnologías informáticas.pdf
Evaluación del riesgo tecnologías informáticas.pdfEvaluación del riesgo tecnologías informáticas.pdf
Evaluación del riesgo tecnologías informáticas.pdf
 
Taller EFC-Auditoría
Taller EFC-AuditoríaTaller EFC-Auditoría
Taller EFC-Auditoría
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos Informaticos
 
Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
 
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
 
Presentación análisis y administración de riesgo
Presentación análisis y administración de riesgoPresentación análisis y administración de riesgo
Presentación análisis y administración de riesgo
 

Más de Francisco Medina

Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
Francisco Medina
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
Francisco Medina
 
2021 1 T4-Criptografía
2021 1 T4-Criptografía2021 1 T4-Criptografía
2021 1 T4-Criptografía
Francisco Medina
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
Francisco Medina
 
Por qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetPor qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en Internet
Francisco Medina
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
Francisco Medina
 
Conociendo la Dark Web
Conociendo la Dark WebConociendo la Dark Web
Conociendo la Dark Web
Francisco Medina
 
2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática
Francisco Medina
 
Tema 1. Active Directory
Tema 1. Active DirectoryTema 1. Active Directory
Tema 1. Active Directory
Francisco Medina
 
Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1
Francisco Medina
 
Caso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y ShellshockCaso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y Shellshock
Francisco Medina
 
Tema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las ComunicacionesTema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las Comunicaciones
Francisco Medina
 
2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad
Francisco Medina
 
Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2
Francisco Medina
 
Tema 1. Seguridad Física
Tema 1. Seguridad FísicaTema 1. Seguridad Física
Tema 1. Seguridad Física
Francisco Medina
 
Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2
Francisco Medina
 
Presentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosPresentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de Datos
Francisco Medina
 
Módulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado EstructuradoMódulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado Estructurado
Francisco Medina
 
Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.
Francisco Medina
 
Tema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática ForenseTema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática Forense
Francisco Medina
 

Más de Francisco Medina (20)

Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 
2021 1 T4-Criptografía
2021 1 T4-Criptografía2021 1 T4-Criptografía
2021 1 T4-Criptografía
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 
Por qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetPor qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en Internet
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
Conociendo la Dark Web
Conociendo la Dark WebConociendo la Dark Web
Conociendo la Dark Web
 
2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática
 
Tema 1. Active Directory
Tema 1. Active DirectoryTema 1. Active Directory
Tema 1. Active Directory
 
Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1
 
Caso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y ShellshockCaso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y Shellshock
 
Tema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las ComunicacionesTema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las Comunicaciones
 
2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad
 
Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2
 
Tema 1. Seguridad Física
Tema 1. Seguridad FísicaTema 1. Seguridad Física
Tema 1. Seguridad Física
 
Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2
 
Presentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosPresentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de Datos
 
Módulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado EstructuradoMódulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado Estructurado
 
Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.
 
Tema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática ForenseTema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática Forense
 

Último

El lugar mas bonito del mundo resumen del libro
El lugar mas bonito del mundo resumen del libroEl lugar mas bonito del mundo resumen del libro
El lugar mas bonito del mundo resumen del libro
Distea V región
 
Biografía de Gregor Mendel y sus 3 leyes.pptx
Biografía de Gregor Mendel y sus 3 leyes.pptxBiografía de Gregor Mendel y sus 3 leyes.pptx
Biografía de Gregor Mendel y sus 3 leyes.pptx
ar5498718
 
recursos naturales en chile quinto básico .pptx
recursos naturales en chile quinto básico .pptxrecursos naturales en chile quinto básico .pptx
recursos naturales en chile quinto básico .pptx
Waleska Chaparro
 
RETROALIMENTACIÓN PARA EL EXAMEN ÚNICO AUXILIAR DE ENFERMERIA.docx
RETROALIMENTACIÓN PARA EL EXAMEN ÚNICO AUXILIAR DE ENFERMERIA.docxRETROALIMENTACIÓN PARA EL EXAMEN ÚNICO AUXILIAR DE ENFERMERIA.docx
RETROALIMENTACIÓN PARA EL EXAMEN ÚNICO AUXILIAR DE ENFERMERIA.docx
100078171
 
Las Tecnologias Digitales en los Aprendizajesdel Siglo XXI UNESCO Ccesa007.pdf
Las Tecnologias Digitales en los Aprendizajesdel Siglo XXI UNESCO Ccesa007.pdfLas Tecnologias Digitales en los Aprendizajesdel Siglo XXI UNESCO Ccesa007.pdf
Las Tecnologias Digitales en los Aprendizajesdel Siglo XXI UNESCO Ccesa007.pdf
Demetrio Ccesa Rayme
 
Blogs_y_Educacion_Por Zaracho Lautaro_.pdf
Blogs_y_Educacion_Por Zaracho Lautaro_.pdfBlogs_y_Educacion_Por Zaracho Lautaro_.pdf
Blogs_y_Educacion_Por Zaracho Lautaro_.pdf
lautyzaracho4
 
Examen Lengua y Literatura EVAU Andalucía.pdf
Examen Lengua y Literatura EVAU Andalucía.pdfExamen Lengua y Literatura EVAU Andalucía.pdf
Examen Lengua y Literatura EVAU Andalucía.pdf
20minutos
 
Planificación Ejemplo con la metodología TPACK
Planificación Ejemplo con la metodología TPACKPlanificación Ejemplo con la metodología TPACK
Planificación Ejemplo con la metodología TPACK
ssusera6697f
 
PLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxx
PLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxxPLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxx
PLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxx
cportizsanchez48
 
Presentación Curso C. Diferencial - 2024-1.pdf
Presentación Curso C. Diferencial - 2024-1.pdfPresentación Curso C. Diferencial - 2024-1.pdf
Presentación Curso C. Diferencial - 2024-1.pdf
H4RV3YH3RN4ND3Z
 
Examen de Lengua Castellana y Literatura de la EBAU en Castilla-La Mancha 2024.
Examen de Lengua Castellana y Literatura de la EBAU en Castilla-La Mancha 2024.Examen de Lengua Castellana y Literatura de la EBAU en Castilla-La Mancha 2024.
Examen de Lengua Castellana y Literatura de la EBAU en Castilla-La Mancha 2024.
20minutos
 
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLMExamen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Juan Martín Martín
 
EVALUACION ESTUDIANTIL 2023-2024 Ecuador - Costa.pptx
EVALUACION ESTUDIANTIL 2023-2024 Ecuador - Costa.pptxEVALUACION ESTUDIANTIL 2023-2024 Ecuador - Costa.pptx
EVALUACION ESTUDIANTIL 2023-2024 Ecuador - Costa.pptx
Victor Elizalde P
 
665033394-TODAS-LAS-SANGRES-resumen-Por-Capitulos.pdf
665033394-TODAS-LAS-SANGRES-resumen-Por-Capitulos.pdf665033394-TODAS-LAS-SANGRES-resumen-Por-Capitulos.pdf
665033394-TODAS-LAS-SANGRES-resumen-Por-Capitulos.pdf
valerytorresmendizab
 
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdfGuia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Demetrio Ccesa Rayme
 
Sesión: El espiritismo desenmascarado.pdf
Sesión: El espiritismo desenmascarado.pdfSesión: El espiritismo desenmascarado.pdf
Sesión: El espiritismo desenmascarado.pdf
https://gramadal.wordpress.com/
 
Friedrich Nietzsche. Presentación de 2 de Bachillerato.
Friedrich Nietzsche. Presentación de 2 de Bachillerato.Friedrich Nietzsche. Presentación de 2 de Bachillerato.
Friedrich Nietzsche. Presentación de 2 de Bachillerato.
pablomarin116
 
Tema 3-3 Métodos anticonceptivos y ETS 2024
Tema 3-3 Métodos anticonceptivos y ETS 2024Tema 3-3 Métodos anticonceptivos y ETS 2024
Tema 3-3 Métodos anticonceptivos y ETS 2024
IES Vicent Andres Estelles
 
6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx
6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx
6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx
DanielaBurgosnazario
 
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...
JAVIER SOLIS NOYOLA
 

Último (20)

El lugar mas bonito del mundo resumen del libro
El lugar mas bonito del mundo resumen del libroEl lugar mas bonito del mundo resumen del libro
El lugar mas bonito del mundo resumen del libro
 
Biografía de Gregor Mendel y sus 3 leyes.pptx
Biografía de Gregor Mendel y sus 3 leyes.pptxBiografía de Gregor Mendel y sus 3 leyes.pptx
Biografía de Gregor Mendel y sus 3 leyes.pptx
 
recursos naturales en chile quinto básico .pptx
recursos naturales en chile quinto básico .pptxrecursos naturales en chile quinto básico .pptx
recursos naturales en chile quinto básico .pptx
 
RETROALIMENTACIÓN PARA EL EXAMEN ÚNICO AUXILIAR DE ENFERMERIA.docx
RETROALIMENTACIÓN PARA EL EXAMEN ÚNICO AUXILIAR DE ENFERMERIA.docxRETROALIMENTACIÓN PARA EL EXAMEN ÚNICO AUXILIAR DE ENFERMERIA.docx
RETROALIMENTACIÓN PARA EL EXAMEN ÚNICO AUXILIAR DE ENFERMERIA.docx
 
Las Tecnologias Digitales en los Aprendizajesdel Siglo XXI UNESCO Ccesa007.pdf
Las Tecnologias Digitales en los Aprendizajesdel Siglo XXI UNESCO Ccesa007.pdfLas Tecnologias Digitales en los Aprendizajesdel Siglo XXI UNESCO Ccesa007.pdf
Las Tecnologias Digitales en los Aprendizajesdel Siglo XXI UNESCO Ccesa007.pdf
 
Blogs_y_Educacion_Por Zaracho Lautaro_.pdf
Blogs_y_Educacion_Por Zaracho Lautaro_.pdfBlogs_y_Educacion_Por Zaracho Lautaro_.pdf
Blogs_y_Educacion_Por Zaracho Lautaro_.pdf
 
Examen Lengua y Literatura EVAU Andalucía.pdf
Examen Lengua y Literatura EVAU Andalucía.pdfExamen Lengua y Literatura EVAU Andalucía.pdf
Examen Lengua y Literatura EVAU Andalucía.pdf
 
Planificación Ejemplo con la metodología TPACK
Planificación Ejemplo con la metodología TPACKPlanificación Ejemplo con la metodología TPACK
Planificación Ejemplo con la metodología TPACK
 
PLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxx
PLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxxPLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxx
PLAN DE CAPACITACION xxxxxxxxxxxxxxxxxxx
 
Presentación Curso C. Diferencial - 2024-1.pdf
Presentación Curso C. Diferencial - 2024-1.pdfPresentación Curso C. Diferencial - 2024-1.pdf
Presentación Curso C. Diferencial - 2024-1.pdf
 
Examen de Lengua Castellana y Literatura de la EBAU en Castilla-La Mancha 2024.
Examen de Lengua Castellana y Literatura de la EBAU en Castilla-La Mancha 2024.Examen de Lengua Castellana y Literatura de la EBAU en Castilla-La Mancha 2024.
Examen de Lengua Castellana y Literatura de la EBAU en Castilla-La Mancha 2024.
 
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLMExamen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
Examen de Selectividad. Geografía junio 2024 (Convocatoria Ordinaria). UCLM
 
EVALUACION ESTUDIANTIL 2023-2024 Ecuador - Costa.pptx
EVALUACION ESTUDIANTIL 2023-2024 Ecuador - Costa.pptxEVALUACION ESTUDIANTIL 2023-2024 Ecuador - Costa.pptx
EVALUACION ESTUDIANTIL 2023-2024 Ecuador - Costa.pptx
 
665033394-TODAS-LAS-SANGRES-resumen-Por-Capitulos.pdf
665033394-TODAS-LAS-SANGRES-resumen-Por-Capitulos.pdf665033394-TODAS-LAS-SANGRES-resumen-Por-Capitulos.pdf
665033394-TODAS-LAS-SANGRES-resumen-Por-Capitulos.pdf
 
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdfGuia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
Guia para Docentes como usar ChatGPT Mineduc Ccesa007.pdf
 
Sesión: El espiritismo desenmascarado.pdf
Sesión: El espiritismo desenmascarado.pdfSesión: El espiritismo desenmascarado.pdf
Sesión: El espiritismo desenmascarado.pdf
 
Friedrich Nietzsche. Presentación de 2 de Bachillerato.
Friedrich Nietzsche. Presentación de 2 de Bachillerato.Friedrich Nietzsche. Presentación de 2 de Bachillerato.
Friedrich Nietzsche. Presentación de 2 de Bachillerato.
 
Tema 3-3 Métodos anticonceptivos y ETS 2024
Tema 3-3 Métodos anticonceptivos y ETS 2024Tema 3-3 Métodos anticonceptivos y ETS 2024
Tema 3-3 Métodos anticonceptivos y ETS 2024
 
6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx
6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx
6° GRADO UNIDAD DE APRENDIZAJE 3 JUNIO.docx
 
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...
ROMPECABEZAS DE ECUACIONES DE PRIMER GRADO OLIMPIADA DE PARÍS 2024. Por JAVIE...
 

Tema 2: Análisis de Riesgos

  • 1. Seguridad Inform´atica Tema 2. An´alisis de Riesgos Francisco Medina L´opez – paco.medina@comunidad.unam.mx Facultad de Contadur´ıa y Administraci´on Universidad Nacional Aut´onoma de M´exico 2021-1
  • 2. Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
  • 3. Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
  • 4. Importancia de la Administraci´on del Riesgo INFOSEC ROCK STAR. How to accelerate your carrer because geek will only get you so far,Ted Demopoulous
  • 5. Fuentes de requisitos de seguridad de la informaci´on 1 Evaluaci´on de los riegos para la organizaci´on, teniendo en cuenta las estrat´egias y objetivos del negocio. 2 Requisitos legales y contractuales que una organiaci´on , sus socios comerciales y proveedores de servicios tienen que satisfacer, y su entorno sociocultural. 3 Conjunto de principios, objetivos y requerimientos del negocio para el manejo, procesamiento, almacenamiento, comunicaci´on y archivo de informaci´on que una organizaci´on desarrolla para dar soporte a sus operaciones.
  • 6. Riesgo Definici´on Posibilidad de que un agente de amenaza se aproveche de una vulnerabildad y de su correspondiente impacto en el negocio. Ejemplos: • Sin un firewall tiene varios puertos abiertos, hay mayor probabilidad de que un instruso utilice uno de los puertos para acceder a la red de una manera no autorizada. • Si lo usuarios no est´an educados en los procesos y procedimientos, hay una mayor probabilidad de que un empleado pueda cometer una falta mal intencionada o no y destruir datos.
  • 7. Elementos del riesgo Impacto P´erdida ocasionada por la materializaci´on del riesgo. Si no hay efectos negativos no hay riesgo. Grado de materializaci´on Certeza sobre la ocurrencia del riesgo.
  • 9. ¿Qu´e es la Administraci´on de Riesgo? Definici´on Proceso de planificar, organizar, dirigir, y controlar las actividades de una organizaci´on con el fin de minimizar los efectos negativos del riesgo sobre el capital y los ingresos de una organziaci´on. • La administraci´on de riesgos es un proceso continuo que se aplica a todos los aspectos de los procesos operativos de una organizaci´on. • La tarea de supervisar este proceso la lleva a cabo un especialista en seguridad de la informaci´on, que puede ser el Oficial de Seguridad de la Informaci´on (CISO, Chief Information Security Officer).
  • 10. Est´andares relativos a la administraci´on del riesgo • ISO / IEC 31000:2018 Gesti´on del Riesgo – Directrices. • ISACA’s Risk IT Framework. • The open Group’s Factor Analysis for Information Risk (FAIR) model. • Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE). • MAGERIT metodolog´ıa de car´acter p´ublico perteneciente al Ministerio de Administraciones P´ublicas de Espa˜na. • NIST Publicaci´on Especial 800-30. • Facilitated Risk Analysis and Assesment Process (FRAAP).
  • 12. Establecer alcance, contexto y criterios Prop´osito Definir el alcance del proceso, y comprender los contextos externo e interno.
  • 13. Evaluaci´on del riesgo Definici´on Proceso global de identificaci´on, an´alisis y valoraci´on del riesgo. Objetivos: 1 Encontrar, reconocer y describir los riesgos que impiden a una organizaci´on lograr sus objetivos (Identifcar riesgos), 2 Comprender la naturaleza del riesgo y sus caracter´ısticas incluyendo el nivel de riesgo (Analizar riesgos) y 3 Comparar los resultados del an´alisis de riesgos con los criterios del riesgo establecido para determinar cuando se requiere una acci´on adicional (Valorar riesgos).
  • 14. Tratamiento del riesgo Definici´on Implementar opciones para abordar el riesgo. Es un proceso iterativo que implica: • Formular y seleccionar opciones para el tratamiento del riego; • Planificar e implementar el tratamiento del riesgo; • Evaluar la eficacia del tratamiento; • Decidir si el riesgo residual es aceptable.
  • 15. Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
  • 16. Amenazas Definici´on Posible causa de un incidente no deseado que puede resultar en da˜nos a un sistema u organizaci´on. • La entidad que se aprovecha de una vulnerabildad se denomina agente de amenaza. • Un intruso que accede a la red a trav´es de un puerto en el firewall. • Un proceso de acceso a los datos de manera que viola la pol´ıtica de seguridad. • Un tornado acabando con una instalaci´on. • Un empleado haciendo un error involuntario que podr´ıa exponer informaci´on confidencia.
  • 20. Vulnerabilidad Definici´on Debilidad de un activo o grupo de activos que puede ser explotado por una o m´as amenazas. • Se caracteriza por la ausencia o debilidad de un control que podr´ıa ser explotada. • Un servicio que se ejecuta en un servidor. • Aplicaciones sin parches o sistemas operativos sin actualizaciones. • Un puerto abierto en un firewall. • M´odem inal´ambrico sin restricciones. • Falta de seguridad f´ısica que permite que cualquiera pueda entrar en cuarto de servidores. • D´ebil administraci´on de contrase˜nas de servidores y estaciones de trabajo.
  • 21. Fuentes de divulgaci´on de vulnerabilidades • The NVD: https://nvd.nist.gov/vuln/search • CVE Details: https://www.cvedetails.com/
  • 25. Top 10 Vulnerabilidades por producto
  • 26. Tipos de vulnerabilidades m´as frecuentes • Vulnerabilidades de configuraci´on; • Validaci´on de entrada; • Salto de directorio; • Inyecci´on de comandos en el sistema operativo; • Inyecci´on SQL; • Error de b´ufer; • Fallo de autenticaci´on; • Error en la gesti´on de recursos; • Error de dise˜no;
  • 27. Malware Definici´on Programas dise˜nados para acceder a un sistema inform´atico de forma no autorizada y provocar da˜nos a este. Objetivos: • Destrucci´on o modificaci´on de informaci´on. • Robo de informaci´on y claves de acceso. • Propagaci´on a otros equipos de una misma red o a trav´es de internet. • Introducir publicidad de forma masiva. • Comprometer la integridad de las aplicaciones y sistemas operativos.
  • 28. Tipos de malware 1 Virus. 2 Cookies. 3 Troyanos. 4 Keylooger. 5 Spyware. 6 Gusanos (worms). 7 Ransoware.
  • 29. Herramientas en l´ınea para an´alisis de malware https://www.virustotal.com/gui/ https://id-ransomware.malwarehunterteam.com/
  • 30. Relaci´on amenazas y vulnerabilidades
  • 31. Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
  • 32. Probabilidad Definici´on Estimaci´on de posibilidades de que se materialce el riesgo o, lo que es lo mismo, que se produzca una amenaza real. • La probabilidad de ocurrencia de una amenaza est´a determinada por un an´alisis de vulnerabilidades.
  • 33. Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
  • 34. Clasificaci´on de Activos Definici´on Cualqueir cosa que tenga valor para la organizaci´on. 1 Tangibles • Datos • Software • Computadoras, equipos de comunicaciones, cableado. 2 Intangibles • Privacidad • Seguridad y salud de los empleados • Imagen y reputaci´on • Continuidad de las actividades • Moral del empleado
  • 35. Valor de los activos • La importance de los activos de un sistema de informaci´on depender´a de su valoraci´on. Si un activo no tiene valor, es completamnte prescindible. • Por otra parte, si un activo es necesario para el correcto funcionamiento del sistema, es que tiene cierto valor. • La valoraci´on del activo viene definida como el costo que implicar´a recuperarse de un fallo del activo provocado por alguna incidencia.
  • 36. Factores para valorar un activo 1 Costo del personal espacializado necesario para recuperar el activo (Costo de mano de obra). 2 Los ingresos perdidos por el fallo del activo. 3 Costo de adquisici´on e instalaci´on de un activo nuevo en caso de que el anterior haya resultado inservible (Costo de recuperaci´on). 4 P´erdida de percepci´on de confianza y calidad de los clientes y proveedores provocados por una interrupci´on del servicio provocada por el fallo del activo. 5 Infracciones cometidas y sanciones correspondientes al incumplimiento de requierimientos legales o de obligaciones contractuales debidas al fallo del activo. 6 Da˜nos y efectos perjudiciales provocados por el activo a otros activos, tanto propios como ajenos a la organizaci´on. 7 Da˜nos medioambientales causados por el activo. 8 Da˜nos a otras personas causadas por el activo.
  • 37. Ejemplo: P´erdida de percepci´on de confianza Fuente: Grupo de Facebook ”Facultad de Contadur´ıa y Administraci´on (FCA-UNAM)”.
  • 38. Tipos de valoraci´on de activos Auditoria de seguridad inform´atica
  • 39. Dimensiones de valoraci´on de los activos 1 Disponibilidad • ¿Cu´al ser´ıa la importancia del activo si no estuviera disponible? 2 Integridad • ¿Qu´e importancia tendr´ıa que el activo sufriera modificaciones? 3 Confidencialidad • ¿Cu´al ser´ıa la importancia del conocimiento del activo por usuarios no autorizados? 4 Autenticidad • ¿Cu´al ser´ıa la importancia del acceso al activo por parte de personas no autorizadas? 5 Trazabilidad • ¿Cu´al ser´ıa la importancia de la falta de constancia de la utilizaci´on del activo?
  • 40. Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
  • 41. Introducci´on 1 An´alisis Cualitativo de Riesgos • Utiliza elementos de la organizaci´on como opini´on, mejores pr´acticas, intuici´on, experiencia, etc. para ponderar el riesgo y sus componentes. • Aplicable a todas las situaciones 2 An´alisis Cuantitativo de Riesgos • Asigna valores monetarios (objetivos) a cada componente de la evaluaci´on de riesgos y a cada potencial p´erdida.
  • 42. An´alisis Cualitativo de Riesgos Definici´on Modelo basado en escenarios mas que en c´alculos. • En lugar de asignar el costo exacto respecto de las posibles p´erdidas, en este escenario se ponderan en escala, los riesgos, costos y efectos de una amenaza en relaci´on del activo. • Este tipo de procesos, conjuga: juicio, experiencia e intuici´on. • T´ecnicas y M´etodos utilizados: • Lluvia de ideas (Brainstorming), T´enicas Delphi, Cuestionarios, Listas (Checklist), Entrevistas, . . .
  • 43. Pasos del An´alisis Cualitativo de Riesgos 1 Definici´on de: • Niveles de probabilidad de ocurrencia de las amenazas • Niveles de impacto de las amenazas • Niveles de riesgo (en funci´on a las anteriores) 2 Clasificaci´on de las amenazas en cuanto a su probabilidad de ocurrencia e impacto. 3 Estimaci´on del riesgo
  • 46. An´alisis Cuantitativo de Riesgos Definici´on Asigna valores monetarios a cada componente de la evaluaci´on de riesgos y a cada potencial p´erdida. Pasos: 1 Asignar valores a los activos. 2 Estimar la p´erdida potencial por cada amenaza. 3 Analizar las amenazas. 4 Estimar la p´erdida anual.
  • 49. Ejemplo: Matriz an´alisis de riesgo Fuente: http://protejete.wordpress.com/gdr_principal/matriz_riesgo/
  • 50. Resultados del An´alisis Cuantitativo de Riesgos? • Valor de los activos (en dinero). • Posibles amenazas a los activos. • Probabilidad de ocurrencia de cada amenaza. • Posible p´erdida anual por cada amenaza.
  • 52. Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
  • 53. Estimar la p´erdida potencial por cada amenaza • Factor de Exposici´on (EF): Porcentaje de p´erdida que una amenaza podr´ıa tener sobre un determinado activo. • Expectativa de P´erdida Individual (SLE): Valor monetario asociado a un evento determinado. Representa la p´erdida producida por una amenaza determinada en forma individual.
  • 54. Tasa de Ocurrencia Anual (ARO) • Tasa de Ocurrencia Anual (ARO): Representa la frecuencia estimada de ocurrencia de un evento (amenaza), dentro del periodo de un a˜no.
  • 55. Estimar la p´erdida anual • Expectativa de P´erdida Anualizada (ALE): Representa la p´erdida anual producida por una amenaza determinada individual..
  • 56. C´alculo de expectativa de p´erdida anual (ALE)
  • 57. Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
  • 58. Estrategias para tratar los Riesgos 1 Mitigar: Implementar controles para reducir el nivel de riesgo. 2 Aceptar: Se acepta el riesgo en su nivel actual. 3 Transferir: Compartir el riesgo con partes externas. 4 Evitar: Cancelar la actividad que genera el riesgo.
  • 59. Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
  • 60. Control o contramedida Definici´on Cualquier tipo de mecanismo que permita identificar, proteger, detectar, responder o minimizar el riesgo asociado con la ocurrencia de una amenaza espec´ıfica. Objetivo: • Reducir los efectos producidos por las amenazas de seguridad (threats) y vulnerabilidades (vulnerabilities) a un nivel tolerable para una organizaci´on. Los controles o contramedidas pueden ser: • Preventivos / De detecci´on / Correctivos / De respuesta / De recuperaci´on. • F´ısicos / T´ecnicos (L´ogicos) / Administrativos
  • 61. Tratamiento de los Riesgos Cada organizaci´on debe definir y efectuar un proceso de tratamiento de los riesgos de seguridad para: • Seleccionar las opciones adecuadas de tratamiento de riesgos de seguridad de la informaci´on teniendo en cuenta los resultados de la apreciaci´on de riesgos. • Determinar todos los controles que sean necesarios para implementar la(s) opci´on(es) elegida(s) de tratamiento de riesgos de seguridad de la informaci´on.
  • 62. Familia de controles de acuerdo al NIST NIST Security and Privacy Controls forInformation Systems and Organizations Enlace .
  • 63. Familia de controles de acuerdo al ISO 27001 ISO/IEC 27001:2013 Enlace .
  • 65. Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
  • 66. Plan de Tratamiento de Riesgos
  • 67. Referencias bibliogr´aficas Comptia Security+ All-In-One Exam Guide, Fifth Edition (Exam Sy0-501) CHICANO Tejada, Ester., Auditor´ıa de seguridad inform´atica., 2014.