Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Análisis Riesgo ISO27000

    Cargado por

    YENERIS CAROLINA TORRES CASTRO
    20 vistas17 páginas

    Título original

    Analisis_Riesgos_Informaticos

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    20 vistas17 páginas

    Análisis Riesgo ISO27000

    Cargado por

    YENERIS CAROLINA TORRES CASTRO

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 17

    Análisis del riesgo

    ISO27000
    01 Identificación activos
    Agenda 02 Generalidades del riesgo
    informático
    03 Valoración del riesgo
    informático
    04 Contexto del riesgo informático
    05 Gestión del riesgo informático
    06 Metodología para la gestión
    del riesgo informático
    Identificación de activos
    Identificación de activos

    Servidor de email: POP3, IMAP y SMTP


    Servidor web: HTTP y HTTPS
    Servidor de base de datos: Oracle, Microsoft SQL
    Server y MySQL
    Servidor DNS
    Servidor FTP
    Servidor del acceso remoto (RAS)
    Servidor Streaming tipo Shoutcast
    Servidor Streaming tipo Icecast
    Servidor VPN
    Generalidades del riesgo informático

     Dispondrán de una visión precisa de los activos relacionados


    con la información de la empresa.
     Conocerán los riesgos a los que se expone la empresa,
    pudiendo priorizar aquellos que tengan mayor probabilidad de
    producirse, para así poder invertir mayores recursos en
    evitarlo.
     Podrán medir el impacto que producirá en la empresa
    cualquier riesgo en caso de producirse.
     Facilita la toma de decisiones a la hora de invertir en
    ciberseguridad y reduce los tiempos de actuación ante
    posibles incidentes de seguridad.
    Generalidades del riesgo informático

     Ayuda a elegir la mejor alternativa en cuanto a métodos de


    reducción de los riesgos.
     Permite realizar una evaluación de los resultados, para
    implementar mejoras o reforzar aspectos débiles en las
    medidas de seguridad.
     Garantiza la continuidad del negocio, disponiendo de planes y
    protocolos en caso de incidentes graves.
     Ayuda a crear una cultura de prevención en la empresa,
    implicando a todas las personas que la forman.
     Permite cumplir con las normativas legales en cuestión de
    seguridad.
    Valoración del riesgo informático
    Contexto del riesgo informático

     ¿Cuál es el interés o la atracción por parte de individuos


    externos, de atacarnos? Algunas razones pueden ser que
    manejamos información que contiene novedades o inventos,
    información comprometedora etc, talvez tenemos
    competidores en el trabajo, negocio o simplemente por el
    imagen o posición pública que tenemos.
    Contexto del riesgo informático

     ¿Cuáles son nuestras vulnerabilidades? Es importante


    considerar todos los grupos de vulnerabilidades. También se
    recomienda incluir los expertos, especialistas de las
    diferentes áreas de trabajo para obtener una imagen más
    completa y más detallada sobre la situación interna y el
    entorno.
    Contexto del riesgo informático

     ¿Cuántas veces ya han tratado de atacarnos? Ataques


    pasados nos sirven para identificar una amenaza y si su
    ocurrencia es frecuente, más grande es la probabilidad que
    pasará otra vez. En el caso de que ya tenemos
    implementadas medidas de protección es importante llevar un
    registro, que muestra los casos cuando la medida se aplico
    exitosamente y cuando no. Porque de tal manera, sabemos
    en primer lugar si todavía existe la amenaza y segundo, cuál
    es su riesgo actual.
    Gestión del riesgo informático
    Metodología para el análisis del riesgo informático
    MAGERIT es una metodología de carácter público que puede ser utilizada libremente y no
    requiere autorización previa. Interesa principalmente a las entidades en el ámbito de aplicación
    del Esquema Nacional de Seguridad (ENS) para satisfacer el principio de la gestión de la
    seguridad basada en riesgos, así como el requisito de análisis y gestión de riesgos,
    considerando la dependencia de las tecnologías de la información para cumplir misiones,
    prestar servicios y alcanzar los objetivos de la organización.

    Siguiendo la terminología de la normativa ISO 31000, MAGERIT responde a lo que se denomina


    “Proceso de Gestión de los Riesgos”, sección 4.4 (“Implementación de la Gestión de los
    Riesgos”) dentro del “Marco de Gestión de Riesgos”. En otras palabras, MAGERIT implementa
    el Proceso de Gestión de Riesgos dentro de un marco de trabajo para que los órganos de
    gobierno tomen decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de
    la información.
    MAGERIT: Análisis del riesgo informático
    1. Identificar los activos: Componente o funcionalidad
    de un sistema de información susceptible de ser atacado
    deliberada o accidentalmente con consecuencias para la
    organización. Incluye: información, datos, servicios,
    aplicaciones (software), equipos (hardware),
    comunicaciones, recursos administrativos, recursos
    físicos y recursos humanos.

    2. Identificar las amenazas: Causa potencial de un


    incidente que puede causar daños a un sistema de
    información o a una organización. consiste en determinar
    las amenazas que pueden afectar a cada activo. Las
    amenazas son “cosas que ocurren”. Y, de todo lo que
    puede ocurrir, interesa lo que puede pasarle a nuestros
    activos y causar un daño
    MAGERIT: Análisis del riesgo informático
    3. Determinación del impacto potencial: Se denomina
    impacto a la medida del daño sobre el activo derivado de
    la materialización de una amenaza. Conociendo el valor
    de los activos (en varias dimensiones) y la degradación
    que causan las amenazas, es directo derivar el impacto
    que estas tendrían sobre el sistema.

    4. Determinación del riesgo potencial: Se denomina


    riesgo a la medida del daño probable sobre un sistema.
    Conociendo el impacto de las amenazas sobre los
    activos, es directo derivar el riesgo sin más que tener en
    cuenta la probabilidad de ocurrencia.
    MAGERIT: Análisis del riesgo informático
    5. Identificar las salvaguardas: Las salvaguardas o
    contra medidas son aquellos procedimientos o
    mecanismos tecnológicos que reducen el riesgo. Hay que
    tener en consideración las salvaguardas desplegadas. Se
    miden, por tanto, los impactos y riesgos a que estarían
    expuestos los activos si no se protegieran en absoluto.

    6. Impacto residual: Dado un cierto conjunto de


    salvaguardas desplegadas y una medida de la madurez
    de su proceso de gestión, el sistema queda en una
    situación de posible impacto que se denomina residual
    MAGERIT: Análisis del riesgo informático

    7. Riesgo residual: Dado un cierto conjunto de salvaguardas desplegadas


    y una medida de la madurez de su proceso de gestión, el sistema queda en
    una situación de riesgo que se denomina residual. Se dice que hemos
    modificado el riesgo, desde un valor potencial a un valor residual.
    THANK YOU

    También podría gustarte