Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Información (SGSI)
Plan Director de Seguridad
(PDS)
Definición y priorización de un conjunto de
proyectos en materia de seguridad de la
información, dirigido a reducir los riesgos a
los que está expuesta la organización hasta
unos niveles aceptables a partir de un
análisis de la situación inicial.
Análisis de Riesgos
• Qué podría ocurrir?
• Sí ocurre, cuánto daño podría causar?
• Qué tan a menudo podría ocurrir?
• Qué puede ser hecho?
• Cuál es el costo de la medida?
• Es la medida efectiva? (Análisis
costo/beneficio)
Procedencia de los riesgos
• De software
– Errores de aplicaciones
– Errores de sistemas operativos
– Rutinas de acceso no autorizados
– Servicios no autorizados
Procedencia de los riesgos
• De hardware
– Inapropiada operación de equipos
– Fallas en mantenimiento
– Inadecuada seguridad física
– Falta de protección contra desastres naturales
• De datos
– Inadecuados controles de acceso a usuarios no
autorizados
Procedencia de los riesgos
• Administrativas
– Ausencia de políticas de seguridad
– Ausencia de cultura de seguridad
– Ausencia de procedimientos de seguridad
– Falta de educación y entrenamiento de
seguridad
– Contratación de personal no competente e
idóneo
Procedencia de los riesgos
• Comunicaciones y redes
– Inadecuados controles de acceso a la red
– Inadecuados mecanismos para prevenir fallas
en comunicaciones
• De personal
– Inadecuados controles de acceso físico
– Inadecuados controles de acceso lógico
Análisis de Riesgos
Fase 1. Definir el alcance
• Dirección del análisis
• Alcance
• Límites
• Descripción del sistema
• Objeto del riesgo y certeza requerida
Fase 1. Definir el alcance
Si el análisis de riesgos forma parte del PDS, el
análisis cubre la totalidad del alcance del
PDS, dónde se han seleccionado las áreas
estratégicas sobre las que mejorar la
seguridad. Por otra parte, también es posible
definir un alcance más limitado atendiendo a
departamentos, procesos o sistemas.
Fase 2. Identificar los activos
• Pueden ser de naturaleza tangible o
intangible, su valor depende de su
naturaleza. Los tangibles incluyen
hardware, documentación y presupuesto
que soportan el almacenamiento,
procesamiento y entrega de la información,
su valor típicamente se da en el costo de
reemplazarlos.
Fase 2. Identificar los activos
Fase 2. Identificar los activos
• El valor de los recursos intangibles como
por ejemplo la información puede darse en
el costo y tiempo de recuperación de la
misma, o en el valor de la confidencialidad,
integridad y disponibilidad de la
información.
Fase 3. Identificar/seleccionar
amenazas
• Amenaza es cualquier evento o agente que
pueda causar daño sobre los recursos del
sistema
– Amenazas por desastres naturales
– Internos: administradores, usuarios finales
– Externos: proveedores, clientes, hackers.
A la hora de identificar las amenazas, puede ser útil tomar
como punto de partida el catálogo de amenazas que
incluye la metodología MAGERIT v3
Fase 4. Identificar vulnerabilidades
-Impacto
Cálculo del riesgo
• Cualitativo: