2 ANALISIS DE RIESGO Anlisis de Riesgo Administracin de la Seguridad Informtica 3 RIESGO La probabilidad de que una amenaza en particular explote una vulnerabilidad causando un impacto negativo sobre mis recursos Anlisis de Riesgo Administracin de la Seguridad Informtica 4 Amenaza Un evento con el potencial de afectar negativamente la Confidencialidad, Integridad o Disponibilidad de los Activos de Informacin Algunos ejemplos de amenazas son: Desastres Naturales (terremotos, inundaciones, huracanes) Errores Humanos Fallas de Software Fallas de Servicios (electricidad) Robo Anlisis de Riesgo Administracin de la Seguridad Informtica 5 Vulnerabilidad Una debilidad que facilita la materializacin de una amenaza Los Activos de Informacin poseen caractersticas o vulnerabilidades, que los hacen exponer su Confidencialidad, Integridad y Disponibilidad Algunos ejemplos de vulnerabilidades son: Inexistencia de procedimientos de trabajo Concentracin de funciones en una sola persona Edificio no es antissmico Infraestructura insuficiente Lugar de trabajo desordenado IMPORTANTE: La vulnerabilidad depende del activo Anlisis de Riesgo Administracin de la Seguridad Informtica 6 Impacto Son las consecuencias que habra si un determinado activo ve afectada su Confidencialidad, Integridad o Disponibilidad
Es la consecuencia de la falta o falla de seguridad, generando prdida en confidencialidad, integridad y disponibilidad de la informacin u otros activos Anlisis de Riesgo Administracin de la Seguridad Informtica 7 Probabilidad de Ocurrencia Es la frecuencia con que se podra producir el riesgo en un plazo determinado de tiempo
Para determinar la Probabilidad debe tenerse en cuenta el historial de ocurrencias y los controles existentes Anlisis de Riesgo Administracin de la Seguridad Informtica 8 Historial de Ocurrencias Es importante saber si un evento ocurre frecuentemente: Cuntos robos han ocurrido en el ltimo ao? Cuntas veces se interrumpe el servicio elctrico? Cuntas veces el personal no bloquea su estacin de trabajo al pararse del escritorio? Para esto se pueden consultar distintas Fuentes de Informacin, como por ejemplo: Usuarios Administradores de sistemas Auditores Responsables de Seguridad Registros Anlisis de Riesgo Administracin de la Seguridad Informtica 9 Controles Se define como Control a cualquier medida de proteccin orientada a asegurar que se preserve la Confidencialidad, Integridad y Disponibilidad de los Activos de Informacin. Algunos ejemplos de controles son: Sistemas de deteccin y extincin de incendio Bloqueo automtico de cuentas no utilizadas Segregacin de funciones Respaldo de informacin Anlisis de Riesgo