Академический Документы
Профессиональный Документы
Культура Документы
Conceptos y Metodologa
Definicin de Riesgo
La probabilidad de que una amenaza en particular explote una vulnerabilidad causando un impacto negativo sobre mis recursos
Probabilidad
Dicho de una cosa: Que hay buenas razones para creer que se verificar o suceder
Cuantos robos han ocurrido en el ltimo ao? Cuantas veces se interrumpe el servicio elctrico? Cuantas veces el personal no bloquea su estacin de trabajo al pararse del escritorio?
Amenaza
Un evento con el potencial de causar acceso, modificacin, divulgacin o destruccin no autorizada de recursos de informacin, aplicaciones o sistemas
Acceso no autorizado Destruccin de la informacin Destruccin del centro de cmputo
Vulnerabilidad
Es una debilidad en un sistema, aplicacin o infraestructura que lo haga susceptible a la materializacin de una amenaza
Fallas conocidas en Sistemas Operativos Confianza de las personas Falta de apego del personal a las prcticas de seguridad de la empresa
Impacto Negativo
Es la consecuencia de la falta o falla de seguridad, generando prdida en confidencialidad, integridad y disponibilidad de la informacin u otros activos No alcanzar mis objetivos de negocios en el tiempo y costo estimado
Recursos
Sistemas de comunicaciones: mdems, routers, cables, etc. Software: sistema operativo, aplicaciones Equipamiento: monitores, terminales, computadores, impresoras, etc. Datos e informacin: sistema, negocio, etc. Personal Otros: instalaciones fsicas, consumos, etc.
Anlisis de Riesgos
Anlisis de Riesgos es la evaluacin sistemtica de las caractersticas de los recursos, sus vulnerabilidades y las amenazas que podran aprovechar estas debilidades, identificando la probabilidad de explotacin de esta y del impacto negativo que este hecho tendr sobre mis objetivos de negocio.
Preguntas sobre el AR
Por qu se debe realizar un AR?
Para que las decisiones se tomen de manera fundamentada. Demostrar el debido proceso en la toma de decisiones. Tener mayor control sobre los hechos futuros. Identificar controles o salvaguardas a implementar para evitar prdidas no estimadas
Preguntas sobre el AR
Cuando se debe realizar un AR?
Cada vez que se deba invertir o gastar dinero Cada vez que se inicia una actividad para invertir adecuadamente los recursos en eventos relevantes Cada vez que ocurra un hecho que cambie las condiciones inicialmente planteadas en la actividad
Preguntas sobre el AR
Quin debe realizar un AR?
Las personas que ms conocen sobre la actividad a realizar
Metodologa Estndar
Anlisis de Riesgos
Metodologa Estndar de AR
Paso 1 Identificacin del sistema / proceso / ambiente Paso 2 Identificacin de las Amenazas Paso 3 Identificacin de las Vulnerabilidades Paso 4 Anlisis de Controles Paso 5 Determinar la Probabilidad Paso 6 Anlisis de Impacto Paso 7 Determinacin del Riesgo Paso 8 Recomendacin de Controles Paso 9 Documentar los Resultados
Etapas AR
Actividades del Anlisis de Riesgos Entregables de la actividad
Paso 1
Paso 2
Identificacin de Amenazas
Paso 3
Identificacind de Vulnerabilidades
Existen en el activo
Etapas AR
Actividades del Anlisis de Riesgos Entregables de la actividad
Paso 4
Anlisis de controles
Paso 5
Determinacin de la probabilidad
Paso 6
Anlisis de Impacto
Etapas AR
Actividades del Anlisis de Riesgos Entregables de la actividad
Paso 7
Paso 8
Recomendacin de Controles
Paso 9
Documentacin de Resultados
Fin
Valorizacin de Riesgo
Mtodo Cuantitativo
Anlisis de Riesgos
Single Loss Expectancy (SLE) = Valor del Activo x EF EF (Exposure Factor) porcentaje de prdida al concretarse una amenaza (de 0 a 1 de 0% a 100%)
Anualized Loss Expectancy = SLE x ARO ARO (Anualized Rate Ocurrence) Estimacin Anual de Ocurrencias reales de una amenaza. Valor promedio o estadstico Valor mrico
Mtodo Cualitativo
Anlisis de Riesgos
Matriz de Riesgo
Matriz de Riesgo
Matriz de Riesgos