Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Segurida
Relación
General
Tipos
Infraestru
Accesos
ctura
Utilidad
TIPOS DE RIESGOS
Integridad
Este tipo abarca todos Integri
los riesgos asociados Seguri
dad
con la autorización, dad Relaci
completitud y exactitud Gener ón
de la entrada, l
procesamiento y Tipos
reportes de las Infraes
aplicaciones utilizadas tructur
Acces
os
en una organización. a
Utilida
Se manifiestan en los d
siguientes componentes
de un sistema:
TIPOS DE RIESGOS
Relación
Integri
Se refieren al uso dad
oportuno de la Seguri
información creada por dad Relaci
Gener ón
una aplicación. Estos l
riesgos se relacionan
Tipos
directamente a la
información de toma de Infraes
Acces
decisiones (Información tructur
a
os
y datos correctos de una
Utilida
persona/proceso/sistem d
a correcto en el tiempo
preciso permiten tomar
decisiones correctas)
TIPOS DE RIESGOS
Accesos
Estos riesgos se enfocan al
inapropiado acceso a Integri
sistemas, datos e información. dad
Seguri
Estos riesgos abarcan: dad Relaci
Gener ón
• Los riesgos de segregación l
inapropiada de trabajo Tipos
• Los riesgos asociados con
la integridad de la Infraes
tructur
Acces
información de sistemas de a
os
bases de datos Utilida
• Los riesgos asociados a la d
confidencialidad de la
información
TIPOS DE RIESGOS
Utilidad
Estos riesgos se enfocan en tres Integri
diferentes niveles de riesgo: dad
Seguri
• Los riesgos pueden ser dad Relaci
enfrentados por el Gener ón
direccionamiento de sistemas l
antes de que los problemas Tipos
ocurran.
• Técnicas de Infraes
Acces
tructur
recuperación/restauración os
a
usadas para minimizar la
ruptura de los sistemas. Utilida
• Backups y planes de d
contingencia controlan
desastres en el procesamiento
de la información.
TIPOS DE RIESGOS
Integri
dad
Infraestructura Seguri
Estos riesgos se refieren a dad Relaci
que en las organizaciones no Gener ón
existe una estructura l
información tecnológica
Tipos
efectiva (hardware, software,
redes, personas y procesos) Infraes
para soportar Acces
tructur
os
adecuadamente las a
necesidades futuras y Utilida
presentes de los negocios d
con un costo eficiente.
TIPOS DE RIESGOS
Seguridad General
Los siguientes riesgos a considerar
son: Integri
dad
Seguri
• Riesgos de choque de
dad Relaci
eléctrico: Niveles altos de ón
Gener
voltaje. l
• Riesgos de incendio:
Inflamabilidad de materiales. Tipos
• Riesgos de niveles
Infraes
inadecuados de energía tructur
Acces
eléctrica. os
a
• Riesgos de radiaciones: Ondas
Utilida
de ruido, de láser y ultrasónicas. d
• Riesgos mecánicos:
Inestabilidad de las piezas
eléctricas.
CICLO DE ANALISIS
DEL RIESGO
Evaluar Identificar
los el escenario
Controle y factor del
riesgo
s
Monitoreo
Determinar
del Mapa
el tipo de
de Amenaza
Procesos
Diseñar
el Plan Identificar
los riesgos
de y el nivel
Segurida Identificar del mismo
d y
Establecer
los
Controles
ACCIONES A TOMAR
CON LOS RIESGOS
• Después de efectuar el análisis debemos
determinar las acciones a tomar respecto a
los riesgos residuales que se identificaron.
Las acciones
Controlar pueden
el Eliminar ser:
el Compartir el Aceptar el
Riesgo Riesgo Riesgo Riesgo
ISO/IEC 27001
Especifica los requisitos necesarios para establecer, implantar,
mantener y mejorar un Sistema de Gestión de la Seguridad de la
Información (SGSI)
ISO/IEC 27005
Esta Norma proporciona directrices para la Gestión del riesgo de
Seguridad de la Información en una Organización. Sin embargo, esta
Norma no proporciona ninguna metodología específica para el
análisis y la gestión del riesgo de la seguridad de la información.
NORMAS QUE TRATAN
LOS RIESGOS
Basilea II
Estándar internacional que sirva de referencia a los
reguladores bancarios, con objeto de establecer los
requerimientos de capital necesarios, para asegurar la
protección de las entidades frente a los riesgos financieros y
operativos.
Ley Sarbanes Oxley (SOX)
Impulsada por el gobierno norteamericano como respuesta a
los mega fraudes corporativos que impulsaron Enron, Tyco
International, WorldCom y Peregrine Systems. Es un conjunto
de medidas tendientes a asegurar la efectividad de los
controles internos sobre reportes financieros.
PCI DSS
Impulsada por las principales marcas de tarjetas de pago,
este estándar busca garantizar la seguridad de los datos de
titulares de tarjetas de pago en su procesado,
almacenamiento y transmisión.
PREVENCIÓN DE
RIESGOS
• No ingresar a enlaces sospechosos
• No acceder a sitios web de dudosa reputación
• Actualizar el sistema operativo y aplicaciones
• Aceptar sólo contactos conocidos
• Descargar aplicaciones desde sitios web oficiales
• Evitar la ejecución de archivos sospechosos
• Utilizar tecnologías de seguridad
• Evitar el ingreso de información personal en
formularios dudosos
• Tener precaución con los resultados arrojados por los
buscadores web
• Utilizar contraseñas fuertes
MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información de las Administraciones Públicas); se trata de un método formal
para realizar un análisis de riesgos y recomendar los controles necesarios
para su minimización.
TIPOS DE AMENAZAS
Bajo = “b”
Medio bajo = “mb”
Medio = “m”
Medio alto = “ma”
Alto = “a”
No aplicable = “xx”
CÁLCULO DE RIESGO CUALITATIVO POR CADA ORGANIZACION
OBJETIVO : ANÁLISIS DE RIESGO
• Asegurar mejor los activos
• Facilitar la toma de decisiones informadas
• Asistir a la gerencia en la acreditación de las
soluciones, resultado de la administración del
riesgo
• Para brindar un mejor tratamiento al riesgo.
• Identificar y ponderar los riesgos a los cuales
los sistemas de información y sus activos están
expuestos, con miras a identificar y
seleccionar controles apropiados.
¿COMO TRATAR UN RIESGO ?
Para ser capaz de decidir sobre los mecanismos de
seguridad, los activos de TI necesitan ser clasificados
basado en la criticidad al negocio
Activos
Activos clasificados
por criticidad al
negocio
Agregar
mecanismos
Vulnerabilidad de seguridad,
Amenazas
transferir
no
Riesgo Acepto?
si
Seguimiento a las
amenazas y riesgos
Algunos métodos o modelos para discutir
Siempre es bueno indicar que no existe método
bueno o malo para calcular el riesgo. El único
requisito es que los conceptos para determinar
los activos de la información, su tasación, la
identificación de las amenazas y
vulnerabilidades se cumplan.
PROCESOS
Identificación de amenazas
• Amenaza:
– El potencial de una fuente de amenaza de actuar
(de manera accidental o intencional) sobre una
vulnerabilidad especifica.
• Fuente de amenaza
– Intencionalidad y método para explotar
intencionalmente una vulnerabilidad, o
– Situación y método que accidentalmente pueden
actuar sobre una vulnerabilidad.
Fuentes de amenaza comunes
• Amenazas naturales
– Inundaciones, terremotos, tornados, deslizamientos,
avalanchas, maretazo, tormenta electrica, lluvias, y otros
eventos de este tipo.
• Amenazas humanas
– Eventos que son causados directa o indirectamente por
humanos, tales como: actos no intencionales (errores de
digitación) o actos deliberados (accesos no autorizados).
• Amenazas Ambientales
– Fallas en la distribución de energía eléctrica, polución,
escape de gases, etc.
• Es importante considerar todas las fuentes de amenaza
potencial que pueden dañar los sistemas de IT y el
ambiente de procesamiento.
Identificación de vulnerabilidades
Vulnerabilidad:
Moderada 5
Ocasional 4
Rem ota 3
Im probable 2
Im posible 1
1 2 3 4
Insignificante Marginal Crítico Catastrófico
Severidad relativa
Determinación del Riesgo
• Evaluación del riesgo
Activo Amenaza Vulnerabilidad Controles existentes Probabilidad Impacto VALOR
Servidor Web Hacker Firewall debil Firewall 5 3
Insider Facil acceso Control acceso red 5 3
Aniego Sanitario cerca 3 4
Fuego Material inflamable Extinguidor 3 4
Falla de disco Discos antiguos Backup diario 4 3
Falla de firewall Computadora obsoleta Ninguno 4 4
Robo Poco control en la noche Ninguno 3 4
Terremoto Edificio no acondicionado Ninguno 4 4
Roedor Desague cerca Fumigación 3 2
NO
SI
LOS CONTROLES SON
LAS CONSECUENCIAS SON
ECONOMICAMENTE OPCION EVITAR
ECONOMICAMENTE
FACTIBLES DE EL RIESGO
DESVASTADORAS?
IMPLANTARLOS?
SI
NO
SI
OPCION DE
ACEPTACION DEL
IMPLANTAR RIESGO
CONTROLES
Mitigación del riesgo
El segundo proceso del manejo del riesgo.
– Priorizar, evaluar e implementar los controles
apropiados para reducir el riesgo.
• Asumir el riesgo
– Aceptar el riesgo potencial y continuar operando el sistema
• Evitar el riesgo
– Evitar el riesgo, eliminando las causas y consecuencias
• Limitar el riesgo
– Limitar el riesgo al implantar controles que minimizan el
impacto negativo de una amenaza
• Planeamiento del riesgo
– Manejar el riesgo desarrollando un plan de mitigación del riesgo
que prioriza, implementar y mantiene el control.
• Investigación y reconocimiento
– Disminuir el riesgo, reconociendo la vulnerabilidad e
investigando controles para corregir la vulnerabilidad.
• Transferir el Riesgo
– Utilizando opciones para compensar la perdida; seguro.
CASO PRACTICO – Tratamiento del riesgo
Criticidad = I x P
I = Impacto del factor de vulnerabilidad
P = Probabilidad de ocurrencia
Administración del riesgo
Vulnerabilidad = I x P
CMT
I = Impacto del factor de vulnerabilidad
P = Probabilidad
CMT = Criticidad Máxima Teórica (para este caso, 400)
Administración del riesgo
Aceptable (Menor o igual a 2%): No implica una gravedad significativa, por lo que no amerita la
inversión de recursos y no requiere la implementación de acciones adicionales a las medidas
de mitigación existentes. Es administrado por procesos rutinarios.
Administración del riesgo
Categorías de Medidas de Mitigación