Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Aud Comp Clase 03-04 - Analisis de Riesgos

    Загружено:

    Daniela Valdés
    10 просмотров15 страниц

    Авторское право

    © Attribution Non-Commercial (BY-NC)

    Доступные форматы

    PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ

    Авторское право:

    Attribution Non-Commercial (BY-NC)
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    10 просмотров15 страниц

    Aud Comp Clase 03-04 - Analisis de Riesgos

    Загружено:

    Daniela Valdés

    Авторское право:

    Attribution Non-Commercial (BY-NC)
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 15

    ANLISIS DE RIESGOS

    Conceptos y Metodologa

    Definicin de Riesgo
    La probabilidad de que una amenaza en particular explote una vulnerabilidad causando un impacto negativo sobre mis recursos

    Probabilidad
    Dicho de una cosa: Que hay buenas razones para creer que se verificar o suceder
    Cuantos robos han ocurrido en el ltimo ao? Cuantas veces se interrumpe el servicio elctrico? Cuantas veces el personal no bloquea su estacin de trabajo al pararse del escritorio?

    Amenaza

    Un evento con el potencial de causar acceso, modificacin, divulgacin o destruccin no autorizada de recursos de informacin, aplicaciones o sistemas
    Acceso no autorizado Destruccin de la informacin Destruccin del centro de cmputo

    Vulnerabilidad
    Es una debilidad en un sistema, aplicacin o infraestructura que lo haga susceptible a la materializacin de una amenaza
    Fallas conocidas en Sistemas Operativos Confianza de las personas Falta de apego del personal a las prcticas de seguridad de la empresa

    Impacto Negativo
    Es la consecuencia de la falta o falla de seguridad, generando prdida en confidencialidad, integridad y disponibilidad de la informacin u otros activos No alcanzar mis objetivos de negocios en el tiempo y costo estimado

    Recursos
    Sistemas de comunicaciones: mdems, routers, cables, etc. Software: sistema operativo, aplicaciones Equipamiento: monitores, terminales, computadores, impresoras, etc. Datos e informacin: sistema, negocio, etc. Personal Otros: instalaciones fsicas, consumos, etc.

    Fundamentos del Anlisis de Riesgos

    Anlisis de Riesgos
    Anlisis de Riesgos es la evaluacin sistemtica de las caractersticas de los recursos, sus vulnerabilidades y las amenazas que podran aprovechar estas debilidades, identificando la probabilidad de explotacin de esta y del impacto negativo que este hecho tendr sobre mis objetivos de negocio.

    Preguntas sobre el AR
    Por qu se debe realizar un AR?
    Para que las decisiones se tomen de manera fundamentada. Demostrar el debido proceso en la toma de decisiones. Tener mayor control sobre los hechos futuros. Identificar controles o salvaguardas a implementar para evitar prdidas no estimadas

    Preguntas sobre el AR
    Cuando se debe realizar un AR?
    Cada vez que se deba invertir o gastar dinero Cada vez que se inicia una actividad para invertir adecuadamente los recursos en eventos relevantes Cada vez que ocurra un hecho que cambie las condiciones inicialmente planteadas en la actividad

    Preguntas sobre el AR
    Quin debe realizar un AR?
    Las personas que ms conocen sobre la actividad a realizar

    Cunto tiempo debe demorar realizar un AR?


    Slo algunos das por cada evento a revisar Es un proceso continuo

    Relacin Costo / Seguridad


    La seguridad debe tener sentido para el negocio!

    Metodologa Estndar
    Anlisis de Riesgos

    Metodologa Estndar de AR
    Paso 1 Identificacin del sistema / proceso / ambiente Paso 2 Identificacin de las Amenazas Paso 3 Identificacin de las Vulnerabilidades Paso 4 Anlisis de Controles Paso 5 Determinar la Probabilidad Paso 6 Anlisis de Impacto Paso 7 Determinacin del Riesgo Paso 8 Recomendacin de Controles Paso 9 Documentar los Resultados

    Etapas AR
    Actividades del Anlisis de Riesgos Entregables de la actividad

    Paso 1

    Identificacin del Ambiente

    Identificacin de los procesos de negocio importantes

    Identificacin de los activos asociados a los procesos

    Activos del tipo - Informacin - Documentos - Fscos - Software - Personas - Servicios

    Paso 2

    Identificacin de Amenazas

    Listado de amenazas que afectan a mis activos y procesos

    Son propias a la naturaleza del activo

    Paso 3

    Identificacind de Vulnerabilidades

    Listado de vulnerabilidades que tienen mis activos y procesos

    Existen en el activo

    Etapas AR
    Actividades del Anlisis de Riesgos Entregables de la actividad

    Paso 4

    Anlisis de controles

    Listado de controles existentes y planificados

    Controles de - Administracin - Operacin - Tecnolgico

    Paso 5

    Determinacin de la probabilidad

    Criterio de la probabilidad de ocurrencia

    Probabilidad de ocurrencia de A-V-C

    Considerar: - Amenazas - Vulnerabilidades - Controles actuales - Estadisticas

    Paso 6

    Anlisis de Impacto

    Criterio de valorizacin de Impacto

    Valorizacin de los activos segn criterio de impacto

    Considerar prdida en: - Integridad - Confidencialidad - Disponibilidad

    Etapas AR
    Actividades del Anlisis de Riesgos Entregables de la actividad

    Paso 7

    Determinacin del Riesgo

    Informe de riesgos existentes valorizados

    Paso 8

    Recomendacin de Controles

    Listado de controles recomendados

    Paso 9

    Documentacin de Resultados

    Informe Anlisis de Riesgos

    Fin

    MTODOS DE EVALUACIN DE RIESGO

    Valorizacin de Riesgo

    Riesgo = Amenaza * Vulnerabilidad * Impacto

    Probabilidad = Amenaza * Vulnerabilidad

    Riesgo = Probabilidad * Impacto

    Mtodo Cuantitativo
    Anlisis de Riesgos

    Mtodo Cuantitativo (1)


    Prdida de una nica Ocurrencia (SLE)
    El SLE representa la potencial prdida monetaria, sobre un activo, si una amenaza especfica se concreta slo una vez. Se expresa en unidades monetarias = $$$$$

    Single Loss Expectancy (SLE) = Valor del Activo x EF EF (Exposure Factor) porcentaje de prdida al concretarse una amenaza (de 0 a 1 de 0% a 100%)

    Mtodo Cuantitativo (II)


    Clculo de Prdidas Anuales (ALE)
    El ALE representa la potencial prdida monetaria anual, sobre un determinado activo, segn su frecuencia de ocurrencia anual y el impacto estimado de cada instancia. Se valor se especifica en unidades monetarias = $$$$$

    Anualized Loss Expectancy = SLE x ARO ARO (Anualized Rate Ocurrence) Estimacin Anual de Ocurrencias reales de una amenaza. Valor promedio o estadstico Valor mrico

    Mtodo Cuantitativo (III)


    Ejemplo:
    Si un activo vale $1.000.000, un determinado evento lo puede afectar un 10%. En el caso que dicho evento se produzca una vez cada 50 aos (ARO). El factor de exposicin sera 0.1 (10%). El Costo de producirse este evento sera: 1.000.000 x 0.1 = 100.000 dlares (SLE) De este modo el ARO sera: 1/50= 0.02 (ocurrencias por aos) Entonces la prdida anual esperada (ALE) para este evento en particular sera de 2.000 dlares (0.02 x 100.000)

    Mtodo Cuantitativo (IV)


    Ejemplos

    Mtodo Cualitativo
    Anlisis de Riesgos

    Criterios de evaluacin utilizados regularmente


    Impacto 1 = Muy Alto 2 = Alto 3 = Medio 4 = Bajo 5 = Insignificante Probabilidad 1 = Improbable 2 = Baja 3 = Media 4 = Alta 5 = Muy Alta

    Matriz de Riesgo

    Matriz de Riesgo

    Matriz de Riesgos

    Вам также может понравиться