Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CISSP,CISA,CISM
Anlisis de Riesgos
Definiciones
Vulnerabilidad
Debilidad
en un mecanismo que
afecta la confidencialidad, integridad o
disponibilidad de un activo.
Threat
Peligro
Definiciones
Riesgo
Probabilidad
de que un agente
encuentre y tome ventaja de una
vulnerabilidad
Exposicin
Instancia
Contramedida
Control
imponen
reducen
Controles
poseen
desean
minimizar
Vulnerabilidades
sonavisadosde
Agentes
generan
exploran
Riesgos
valoran
afectan
generan
Peligros
incrementan
deseanabusarydaar
Activos
del riesgo es el
proceso de definir, levantar y
reducir el riesgo a un nivel
aceptable e implementar los
mecanismos correctos para
mantener este nivel de riesgo.
Riesgo es la posibilidad de que algo
daino suceda.
del Riesgo
Administracin del riesgo
Anlisis de riesgo cualitativo
Anlisis de riesgo cuantitativo
Planeacin de respuesta al riesgo
Monitoreo y control del riesgo
Planeacindela
administracindelriesgo
Documentacin
Monitoreoycontrol
delriesgo
Identificacin
Evaluacin
Identificacin
delRiesgo
Anlisis
Anlisisderiesgo
cualitativoycuantitativo
Ejecucin
Prioritizacin
Planeacin
Planeacinde
respuestaalriesgo
Metodologas
(ISC)2
Anlisis de riesgos
1.Entendimiento de la meta y
alcance
2.Estimacin y asignacin de valores
a los activos
3.Identificacin de peligros y
vulnerabilidades
4.Estimacin de la prdida potencial
por riesgo
5.Estimacin de probabilidades y
frecuencias
del dueo
La decisin de este valor repercute
en las acciones y proteccin del
activo
El valor es determinado por la
importancia para los dueos,
usuarios autorizados y usuarios no
autorizados
Costo final =
costo de adquisicin o desarrollo del
activo +
costo de mantenimiento y proteccin +
valor del activo a dueos y adversarios +
precio que otros pagaran +
responsabilidades en caso de peligro +
prdidas operacionales en caso de no
disponibilidad +
costo de reemplazo
de todos los
departamentos
Estimar prdida potencia para cada
riesgo
del custodio
Especificacin de criterios
Clasificacin de los datos
(por el dueo)
Criterios de destruccin
(cundo y cmo)
de
Documentacin
custodios
Desarrollo de
clasificacin de
criterios
Controles por
clasificacin
de excepciones
Cmo transferir
la custodia
Procedimiento
de declasificacin
Programa de
entrenamiento
y valore monetario
Cualitativo
Medidas
subjetivas asignadas
Por Intuicin
Loss Expectancy
(V) x Factor de Exposicin (EF) =
SLE
EF es expresado en porcentaje de
perdidas del activo en caso de
presentar el fenmeno. [0, 1.0]
Annualized
SLE
Loss Expectancy
Riesgo
Instalaciones Fuego
Informacin
Robo
secreta
Servidorde
Falla
archivos
Datos
Virus
Informacin
detarjetade
Robo
crditode
clientes
Valorde
activo
560000,00
EF
SLE
ARO
ALE
0,40 224000,00
0,25 56000,00
43500,00
0,92 40020,00
0,75 30015,00
11500,00
1,00 11500,00
0,50
5750,00
0,70
0,80
4984,00
8900,00
325500,00
6230,00
0,83 270165,00
0,60 162099,00
moderada
X
Severidad
moderada
baja
Prctica
Realizar
un estudio de anlisis de
riesgos obteniendo lo siguiente:
Identificacin
de activos ms crticos
Identificacin de riesgos con mayor
dao
Identificacin de los controles a
implementar por orden de impacto
Prctica - Escenario
Una empresa farmacutica localizada
en la ciudad de Mxico tiene en la
misma ubicacin el laboratorio de
investigacin y las oficinas
corporativas que se encargan de
las ventas y compras del insumo
para producir sus medicamentos de
patente.
Prctica - Escenario
Se sabe que....
Los
Prctica - Escenario
Todos
Prctica - Escenario
Las
instalaciones se componen
principalmente del rea de recepcin,
oficinas administrativas y laboratorios
de investigacin
Slo existen cmaras de vigilancia en
la recepcin
Los empleados al entrar o salir
registran su equipo de entrada
Metodologas
OCTAVE
Operationally Critical Threat, Asset
and Vulnerability Evaluation
OCTAVE
Caractersticas
Sistemtica
Se
Caractersticas
Dirigida
Proceso
Fases
OCTAVE vs OCTAVE-S
+300
-100
empleados
No requiere
expertos
El ambiente de
TI est va
outsourcing
empleados
Requiere de
expertos
Se genera por
medio de
talleres
IT opera en casa
OCTAVE-S
Resumen
Cualitativas
OCTAVE
CORAS
Cuantitativas
ISRAM
Cost-Of-Risk
Analysis CORA
Information System IS
OCTAVE
Desarrollada
CORAS
Desarrollada
por el Information
Society Technologies IST
Utiliza procesos semi-formales
orientados a objetos
Basada en UML
Utiliza lluvia de ideas de grupos
inter-disciplinarios
ISRAM
Desarrollada
en Diciembre del
2003 por el National Research
Institute of Electronics and
Cryptology y el Gebze Institute of
Technology
Esta basada en encuestas
Valua el riesgo entre 1 y 25
Contiene 7 pasos
CORA
Desarrollada
por la International
Security Technology
Utiliza modelos de datos que usan
peligros, funciones, activos,
vulnerabilidades para calcular
consecuencias
Consiste en 2 etapas
Utiliza el SOL y ALE
IS Risk Analysis on BM
Basado
en Modelos de negocio
Desarrollado por Korea Advance
Institute of Science and Technology
Tiene 4 etapas
Da un enfoque de negocio,
procesos sobre activos
Utiliza el ALE