Resultados del Análisis de los plagios del 2022-06-25 00:07 UTC

2.6% Extracto -

Ensayo_Caso_de_Estudio_Implementacion_de_la_Metodologia_de_Riesgos_de_OWASP_VZ.pdf

Fecha: 2022-06-25 00:05 UTC

Todas las fuentes 2 Fuentes de internet 2

es.sawakinome.com/articles/general-management/difference-between-proactive-and-reactive-risk-management.html
[0]
2.1%4 resultados

www.coursehero.com/file/p7qqc5p/el-acceso-a-las-aplicaciones-empresariales-desde-dispositivos-móviles-aumenta/
[1]
1 resultados
0.5%

6 páginas, 2000 palabras

Nivel del plagio: 2.6% seleccionado / 2.6% en total

5 resultados de 2 fuentes, de ellos 2 fuentes son en línea.

Configuración

Directiva de data: Comparar con fuentes de internet, Comparar con documentos propios

Sensibilidad: Media

Bibliografia: Considerar Texto

Deteción de citas: Reducir PlagLevel

Lista blanca: 1 - 146269229

 Caso de Estudio implementación de la
Metodología de Riesgos de OWASP.
Viviana Zambrano1
Carrera de Computación
Universidad Nacional de Loja
viviana.zambrano@unl.edu.ec 1

24 de Junio del 2022

1 Introducción
El proceso de gestión de riesgos de seguridad puede ser iterativo para las
actividades de evaluación y/o tratamiento de riesgos. Un enfoque iterativo para
realizar una evaluación de riesgos puede aumentar la profundidad y el detalle de la
evaluación con cada iteración. El enfoque iterativo logra un buen equilibrio
entre la reducción del tiempo y el esfuerzo necesarios para definir las medidas
de control, incluida la garantía de que los riesgos de alto impacto se evalúen
adecuadamente.

2 GESTIÓN DE RIESGOS
En la gestión de riesgos, es fundamental llevar a cabo procesos claros de seguridad
en términos de aplicación y en términos de papeles y responsabilidades, de manera
esta información logre ser replicada para producir conciencia sobre el equilibrio del
programa.

Por consiguiente, las piezas de la organización tienen que afanarse por entablar
estándares estables en la organización para defender la información, llevar a cabo
la táctica de seguridad de TI idónea y regir las instalaciones idóneas para realizar
las operaciones de manera correcta.

A los CISO constantemente se les exige que expliquen los peligros de las
aplicaciones al C- suite y describan el efecto potencial en el comercio de una
organización si las aplicaciones se ven involucradas y se violan los datos
confidenciales [1].
 2.1 Gestión de riesgos proactiva.
Para quienes deseen optar por una administración proactiva, es importante hacer
un inventario de las aplicaciones que tienen dentro información o activos
importantes y conocer los perfiles de peligro asociados a las mismas, y una vez que
se disminuyan las ocupaciones, van a poder priorizar y planear al mínimo. [2].

A diferencia de la administración de peligros reactiva, la administración de

peligros proactiva busca encontrar todos los peligros importantes antecedente de
que ocurra un incidente. Por consiguiente, es necesario una forma enteramente
nueva de pensar sobre la administrac[i0ó] n de peligros y generar conjeturas para una
administración de peligros proactiva.

Si bien los individuos son la fuente de error, además poseen el potencial de ser
una fuente bastante elemental de seguridad basada en la administración proactiva
de peligros.
[0]
2.2 Gestión de riesgos reactiva.
La gestión de riesgos de respuesta continua es similar a un escenario de extinción
[0]
de incendios. La gestión reactiva de riesgos entra en vigor tan pronto como ocurren
incidentes o se identifican problemas después de una auditoría. La gestión de
riesgos interactiva enumera y registra todos los incidentes anteriores para
encontrar errores que condujeron al accidente. Las precauciones se rec[0o]miendan e
implementan como parte de un enfoque reactivo de gestión de riesgos. La gestión
reactiva de riesgos puede provocar retrasos graves en el sitio debido a la falta de
preparación para futuros incidentes.

Puede adoptar un enfoque proactivo para mitigar las amenazas, aprovechar una
simple actualización tecnológica de una aplicación para incorporar una nueva
funcionalidad o cuando una aplicación antigua finalmente deja su historial
efectivo y necesita migrar a un sistema más nuevo.

2.3 La gestión de riesgos centrada en activos.

Un activo es cualquier cosa de valor para la entidad y, por lo tanto, debe
protegerse. Las determinaciones de activos deben realizarse con un nivel de detalle
apropiado que brinde información suficiente para una evaluación de riesgos [3].

Los CISO deben tratar las implementaciones de modelos de amenazas como

seguridad proactiva; En tales casos, donde las políticas de estabilización se basan
en el cumplimiento de ciertos criterios de estabilidad de la información, se debe
incluir la gestión de activos como un área de estabilidad que debe abordarse, sus
respectivos requisitos de corrección y evaluaciones de estabilidad; Para este
inventario, se debe realizar un monitoreo continuo para confirmar si se han
realizado arreglos fundamentales a las vulnerabilidades identificadas, o si hay más
vulnerabilidades en desarrollo.
2.4 Gestión de riesgos de negocios vs Gestión de riesgos
técnicos
Los riesgos de negocio se pueden decir que un riesgo empresarial es una
circunstancia o factor que puede tener un impacto negativo en las operaciones o
rentabilidad de una determinada empresa.
Tenga en cuenta que el riesgo se mide por el potencial de que un activo se vea
amenazado por un efecto, que debe equilibrarse al tomar decisiones sobre cómo
reducir el riesgo de estabilidad y considerar la tecnología y el comercio como
resultado de una combinación de estos dos factores.
Estimar el riesgo comercial es más complejo que estimar el riesgo técnico,
porque estimar el riesgo comercial requiere estimar la probabilidad de ciertos tipos
de incidentes de estabilidad (como violaciones de datos), así como estimar
problemas económicos (algunos ejemplos, pérdida de ingresos, costos legales de
no- Cumplimiento, costo de compensación por la causa del desastre) causado por
este desastre.

2.5 Estrategias de Gestión de Riesgos

Cualquier organización, independientemente de su enfoque o tamaño, no está
exenta de experimentar cierto tipo de riesgos que pueden afectar sus operaciones y
el logro de sus objetivos [4].
Entre las estrategias podemos encontrar:

• Aceptación del riesgo: Incluye identificarlo y reconocerlo, pero los riesgos

o riesgos aquí identificados son aquellos que no representan un obstáculo
para el logro de las metas y pueden ser experimentados. Sin embargo, es
importante entender que no se trata de aceptarlos y dejarlos ser, sino de crear
una estrategia para convertir el riesgo en algo que se pueda adaptar en el
futuro. Se acepta que el riesgo es posible y en base a esto se crea un plan de
acción centrado en lo que es probable que suceda.

• Mitigación del riesgo: Esta técnica está dirigida a reducir la probabilidad

de ocurrencia de un riesgo o reducir el impacto que puede tener en la
empresa. Esto quiere decir que, si esto sucede, el efecto no será muy grande,
porque ya existe una estrategia a implementar. Las empresas suelen utilizarlo
cuando el riesgo es irreparable o no depende directamente de la organización.
• Transferencia del riesgo: Esta técnica está dirigida a reducir la
probabilidad de ocurrencia de un riesgo o reducir el impacto que puede tener
en la empresa. Esto quiere decir que, si esto sucede, el efecto no será muy
grande, porque ya existe una estrategia a implementar. Las empresas suelen
utilizarlo cuando el riesgo es irreparable o no depende directamente de la
organización.
 • Explotación del riesgo: A menudo, un riesgo puede verse como una
oportunidad de mejora dentro de la organización. Si se presenta tal caso, en
este caso no buscamos mitigarlo o eliminarlo, sino todo lo contrario, dejar
que la empresa se enfoque en el problema y saque el mejor lado. Esto podría
implicar la designación de personal calificado, la realización de mayores
inversiones o la creación de un plan para ayudar a prevenir que se repita.

• Supresión del riesgo: Aunque la mayoría de las veces esto no sucede, a

veces las empresas logran eliminar el riesgo de una manera agradable.

2.6 El análisis y el conocimiento de las nuevas amenazas

No continuamente tiene sentido examinar los casos comerciales para costos extras
en medidas de estabilidad de aplicaciones sin los datos de peligro logrados del
estudio del efecto de las amenazas emergentes, y se debería reducir el más grande
grado de peligro. Sin dichos datos, la dirección tendría que sopesar las amenazas
subjetivas.

2.7 Responder a las expectativas del negocio después de

un incidente de seguridad.
Una vez que se han identificado las causas raíz de los incidentes y se han tomado
medidas correctivas para evitar el impacto del incidente, la pregunta clave para los
CISO es qué hacer para prevenir problemas. La misma seguridad no volverá a
ocurrir en el futuro. La pregunta clave para los CISO es qué medidas y actividades
de seguridad de aplicaciones deben seleccionarse para minimizar el riesgo de fuga
de datos confidenciales debido a malware y ataques de terceros, aplicaciones y
software desarrollados y administrados por la organización [1].

2.8 Riesgos de incidentes causados por la filtración de

datos.
Al momento de determinar los riesgos de seguridad, existen factores importantes
que deben ser considerados, siendo los más importantes los impactos negativos y
la posibilidad de incidentes; Para estimar el impacto de costos en caso de un
incidente, es fundamental tener claro los costos que ocasionará el incidente.
Para lograr cuantificar los posibles impactos en el negocio luego de sufrir una
filtración de datos se debe tener en cuenta, que se debe basar en los cálculos de la
estimación de riesgos. Con este análisis cuantitativo se puede estimar el gasto que
debe tenerse para las medidas de seguridad necesarias en una base anual por cada
aplicación, donde también se debe calcular el impacto de forma anual [4].
3 CRITERIOS PARA GESTIONAR RIESGOS
DE SEGURIDAD EN APLICACIONES
Los CISO deben priorizar los problemas de seguridad para identificar áreas de
preocupación prioritaria. Para tomar decisiones informadas sobre cómo
administrar los riesgos de seguridad, los CISO a menudo necesitan evaluar los
costos de parchear las vulnerabilidades de seguridad conocidas y adoptar nuevas
contramedidas, mientras sopesan los beneficios de reducir los riesgos conocidos al
realizar estas acciones. La relación costo/beneficio es un factor clave para decidir
en qué medidas de seguridad y control invertir para reducir el riesgo. [1].

3.1 Priorizar el riesgo Global.

La priorización de riesgos debe realizarse en función de las vulnerabilidades
conocidas con un enfoque reactivo, pero debe ser tangible para una gestión de
riesgos empresarial clara. Estas características de riesgo son útiles para los CISO
en la identificación de riesgos comerciales, cuando un actor de amenazas se
aprovecha de las vulnerabilidades o debilidades que existen en los controles para
comprometer los activos y, por lo tanto, tener un impacto negativo en las
operaciones comerciales [1].

3.2 Comprender los factores de Riesgo: Amenazas y

Contramedidas.
Para realizar la clasificación de riesgos, el CISO debe aplicar técnicas de modelado
de amenazas. Según OWASP Application Threat Modeling, “El modelado de
amenazas es una estrategia para analizar la seguridad de una aplicación. Es una
estrategia estructurada que identifica, cuantifica y aborda los riesgos de seguridad
asociados con una aplicación” [1].

3.3 Agentes de amenaza.

Determinar quién se beneficiará de los activos de la empresa y cómo pueden usarlos
contra la empresa es clave [1].
Un actor de amenazas se puede describir como un cruce entre los motivos del
agente, los patrones de ataque específicos utilizados y las vulnerabilidades
explotadas [1].

3.4 Mitigando los riesgos inherentes a las nuevas tecnologías

de aplicación.
En este caso, toman la decisión de que es posible invertir en algo nuevo, como una
evaluación de seguridad de la aplicación, así como herramientas y así tener una
forma de mitigar los riesgos [1].
3.5 Gestión del riesgo en aplicaciones móviles.
La seguridad de las aplicaciones móviles es una preocupación particular para la
mayoría de las organizaciones en la actualidad, especialmente con el crecimiento
exponencial
[1]
en el uso de teléfonos inteligentes y tabletas para uso personal y
comercial. Desde la perspectiva de la seguridad de las aplicaciones, el acceso a las
aplicaciones empresariales desde dispositivos móviles aumenta la posibilidad de
que los piratas informáticos ataquen las aplicaciones y los datos que pueden estar
almacenados en los teléfonos móviles [1].

3.6 Gestión de riesgos de tecnologías de la Web 2.0.

De acuerdo con algunos analistas como Gartner, la adopción de nuevas
tecnologías por el mercado sigue un ciclo también conocido como “exageración”
las fases son las siguientes [1]:

3.7 Medidas de seguridad para mitigar riesgos.

Un ejemplo, si las vulnerabilidades se originan a partir de la falta de requisitos
de seguridad para la web 2.0 que los desarrolladores de software necesitan para
seguir, deben ser documentados.

3.8 Gestionar los riesgos de los servicios de computación

en la nube
También deben tener en cuenta, a modo ilustrativo, el riesgo al que se puede
enfrentar una organización cuando el servicio de datos que proporciona a sus
clientes se subcontrata a un software de terceros y no está disponible. Porque el
proveedor de servicios en la nube mencionado anteriormente fue el objetivo de
un ataque de denegación de servicio [1].