Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Metodologías de Riesgos TI PDF

    Cargado por

    Rafael Nuñez Manotas
    21 vistas31 páginas

    Título original

    20100302 Metodologías de Riesgos TI.pdf

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    21 vistas31 páginas

    Metodologías de Riesgos TI PDF

    Cargado por

    Rafael Nuñez Manotas

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 31

    Metodologas y Normas

    para el Anlisis
    de
    Metodologas
    y Normas
    para Riesgos
    el Anlisis de
    Riesgos:
    Cul debo aplicar?
    Jos ngel Pea Ibarra
    Vicepresidente Internacional ISACA
    japi@alintec.net

    Jos ngel Pea Ibarra


    japi@alintec.net

    Contenido

    1. Fundamentos del Anlisis de


    Riesgos
    2. OCTAVE
    3. MAGERIT
    4. ISO 27005
    5. Risk IT de ISACA

    Los productos aqu mencionados pertenecen a sus respectivos propietarios.


    La presentacin no tiene fines de lucro, es solo de carcter acadmico, y
    representa solamente la opinin del expositor
    Jos ngel Pea Ibarra
    japi@alintec.net

    Jos ngel Pea Ibarra


    japi@alintec.net

    Riesgo Tecnolgico

    El Riesgo Tecnolgico implica la probabilidad de prdidas


    ante fallas de los sistemas de informacin.
    Tambin considera la probabilidad de fraudes internos y
    externos a travs de los sistemas de informacin.
    Involucra al riesgo legal y al riesgo de prdida de
    reputacin por fallas en la seguridad y por la no
    disponibilidad de los sistemas de informacin.

    Jos ngel Pea Ibarra


    japi@alintec.net

    Elementos del anlisis de riesgos


    explota

    Vulnerabilidades

    Amenazas
    protege contra

    incrementa

    Salvaguardas

    satisfecho por

    incrementa

    Riesgos

    indica

    Requisitos de
    Seguridad

    incrementa

    afecta

    Activos

    tiene

    Valor de activos
    (impacto potencial)

    Jos ngel Pea Ibarra


    japi@alintec.net

    Proceso de anlisis de riesgos

    Identificacin y
    valuacin de
    activos

    Evaluacin de
    amenazas

    Evaluacin de
    vulnerabilidad

    Contramedidas

    Evaluacin de
    riesgos

    Evaluacin de
    control

    Plan de accin

    Riesgos
    residuales

    Fuente: IT Governance Institute


    Jos ngel Pea Ibarra
    japi@alintec.net

    La administracin de los riesgos es parte fundamental del


    Modelo conceptual de Gobierno de seguridad de TI

    Fuente: Information Security Governance, 2nd Edition, ITGI


    Jos ngel Pea Ibarra
    japi@alintec.net

    Anlisis de riesgos

    Fases del Anlisis de riesgos


    Identificacin de activos
    Todo elemento necesario para mantener las actividades de la
    organizacin
    Datos, hardware, personal, imagen de la organizacin

    Evaluacin de las amenazas


    Evento que puede afectar a los activos de la organizacin,
    poniendo en peligro su integridad
    Las amenazas dependen de
    negocio de la organizacin, ubicacin de la organizacin, tipo de
    sistema a proteger

    Jos ngel Pea Ibarra


    japi@alintec.net

    Anlisis de riesgos

    Fases del Anlisis de riesgos


    Evaluacin de las amenazas (continuacin)
    Tipos de amenazas
    Naturaleza, errores o accidentes, intencionadas (locales o remotas)

    Identificar la causa de la amenaza


    Identificar el activo afectado por la amenaza
    Calcular la probabilidad de que ocurra la amenaza
    Resultados
    Lista de Amenazas
    Activos afectados
    Probabilidad de que ocurra

    Jos ngel Pea Ibarra


    japi@alintec.net

    Probabilidad y Consecuencia de Amenazas


    Incidentes de
    Seguridad
    Computacional

    Fuego
    Inundacin
    Terrorismo

    Fallas en tele-Falla Sistema


    Falla en
    comunicaciones Energa
    conmutador

    Consecuencia
    Severidad

    Volumen de Fallas en eq.


    Transacciones
    y sist. computo
    Negligencia o
    Desconocimiento

    Terremotos

    Vandalismo

    Robo de Activos
    Informticos

    Falla de
    Proveedores
    Violencia en
    Lugar de Trabajo

    Muy Baja

    Baja

    Media

    Alta

    Probabilidad
    de Ocurrencia

    Muy Alta
    Jos ngel Pea Ibarra
    japi@alintec.net

    Anlisis de riesgos

    Fases del Anlisis de riesgos


    Tratamiento del riesgo
    Encontrar un equilibrio:
    Nivel de seguridad VS Costo de la seguridad
    Costo Proteccin VS costo de exposicin
    Decisiones
    Aceptar el riesgo
    Transferir el riesgo
    Reducir el riesgo a un nivel aceptable (Seleccionar controles)
    Niveles de Riesgo determinan las Decisiones
    Los niveles de riesgo se determinan con base en diversos
    enfoques.
    Jos ngel Pea Ibarra
    japi@alintec.net

    Comparacin de Rango de Riesgo

    Objetivo: Asignar un valor de rango a un riesgo en


    comparacin con otro, para establecer un criterio o
    grupo de criterios para dar prioridad.
    Comparacin de Rango de Riesgo
    Riesgo

    Resultado

    Se comparan los riesgos: A es ms importante que B,


    se asigna 1;Riesgo A es menos importante que C, se
    asigna 0; Riesgo A es igual de importante que Riesgo
    D, se asigna .5.
    A

    .5

    .5

    1.5

    .5

    2.5

    .5

    1
    Jos ngel Pea Ibarra
    japi@alintec.net

    Anlisis cuantitativo:

    El impacto tiene ms peso que la probabilidad,


    por lo que el orden de los factores si altera el
    producto. Identificacin de prioridades
    Imp. Prob. NR.
    1 X 2 = 2
    2 X 1 = 3

    Impacto

    Mtodo Joan Peib

    Probabilidad

    Jos ngel Pea Ibarra


    japi@alintec.net

    Impacto

    Imp.x Prob. NRiesgo.


    1 X 2 = 2
    2 X 1 = 3

    Mtodo Joan Peib

    3
    Probabilidad

    Faltan niveles de riesgo 5,7 y 8

    Notas sobre el Anlisis cuantitativo:

    IxP=NR
    1x1=1
    1x2=2
    1x3=3
    2x1=2
    2x2=4
    2x3=6
    3x1=3
    3x2=6
    3x3=9
    Jos ngel Pea Ibarra
    japi@alintec.net

    Metodologas, normas, estndares..


    OCTAVE
    Carnegie Mellon SEI

    MAGERIT 2
    MINISTERIO DE
    ADMINISTRACIN
    PBLICA

    ISO 27005
    27005

    Risk IT de ISACA
    Jos ngel Pea Ibarra
    japi@alintec.net

    OCTAVE
    OCTAVE (Operationally Critical Threat, Asset and
    Vulnerability Evaluation)
    Metodologa de Anlisis de Riesgos (seguridad de TI)
    Enfocado a que la organizacin sea capaz de:

    Dirigir y gestionar sus evaluaciones de riesgos


    Tomar decisiones basndose en sus riesgos
    Proteger los activos claves de informacin
    Comunicar de forma efectiva la informacin clave de seguridad

    Coadyuvante en el Aseguramiento de la continuidad del negocio


    Definicin del riesgo y amenazas basadas en los activos crticos
    Estrategias de proteccin y mitigacin de riesgos basada en
    prcticas
    Recopilacin de datos en funcin de los objetivos
    Base para la mejora de la seguridad

    Jos ngel Pea Ibarra


    japi@alintec.net

    OCTAVE
    OCTAVE (Operationally Critical Threat, Asset and
    Vulnerability Evaluation)
    Beneficios
    Identifica los riesgos de la seguridad que pueden impedir la consecucin
    del objetivo de la organizacin
    Ensea a evaluar los riegos de la seguridad de la informacin
    Crea una estrategia de proteccin con el objetivo de reducir los riesgos
    de seguridad de la informacin prioritaria
    Ayuda a la organizacin cumplir regulaciones de la seguridad de la
    informacin.

    Jos ngel Pea Ibarra


    japi@alintec.net

    OCTAVE

    OCTAVE (Operationally Critical Threat, Asset and Vulnerability


    Evaluation)
    Fase 1

    Fase 3

    Activos
    Vista de la
    Organizacin Amenazas

    Prcticas actuales
    Vulnerabilidades de la
    organizacin
    Cumplimiento

    Planificacin

    Desarrollo del
    Plan y de la Estrategia

    Riesgos
    Estrategia de proteccin
    Planes de atenuacin

    Fase 2
    Vista
    Tecnolgica

    Vulnerabilidades
    Tecnolgicas

    Jos ngel Pea Ibarra


    japi@alintec.net

    MAGERIT:
    Metodologa de anlisis y gestin de riesgos de TI

    MAGERIT 2
    MINISTERIO DE
    ADMINISTRACIN
    PBLICA

    Jos ngel Pea Ibarra


    japi@alintec.net

    MAGERIT
    MAGERIT inici con enfoque a las entidades
    pblicas en Espaa, pero se recomienda para
    todo tipo de organizaciones
    Tiene varios documentos:
    Mtodo
    Ctalogo
    Tcnicas

    Se cuenta con una herramienta computarizada:


    PILAR
    Jos ngel Pea Ibarra
    japi@alintec.net

    Jos ngel Pea Ibarra


    japi@alintec.net

    Jos ngel Pea Ibarra


    japi@alintec.net

    Publicado por ISACA

    Jos ngel Pea Ibarra


    japi@alintec.net

    Fuente: Risk IT publicado


    por ISACA / ITGI

    Jos ngel Pea Ibarra


    japi@alintec.net

    Fuente: Risk IT publicado


    por ISACA / ITGI

    Jos ngel Pea Ibarra


    japi@alintec.net

    El Framework de Risk IT
    Tiene 3 dominios:

    Fuente: Risk IT publicado


    por ISACA / ITGI

    Jos ngel Pea Ibarra


    japi@alintec.net

    Fuente: Risk IT publicado


    por ISACA / ITGI

    Jos ngel Pea Ibarra


    japi@alintec.net

    Fuente: Risk IT publicado


    por ISACA / ITGI

    Jos ngel Pea Ibarra


    japi@alintec.net

    Anlisis de Riesgo

    Factores de Riesgo

    Fuente: Risk IT publicado


    por ISACA / ITGI

    Respuesta
    al Riesgo

    Jos ngel Pea Ibarra


    japi@alintec.net

    Entonces, Qu uso para el anlisis de


    riesgos?......

    Qu le dar ms valor a mi
    organizacin?
    Jos ngel Pea Ibarra
    japi@alintec.net

    Gracias!
    Jos ngel Pea Ibarra
    Vicepresidente Internacional ISACA
    japi@alintec.net

    Jos ngel Pea Ibarra


    japi@alintec.net

    También podría gustarte