Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 02 Análisis de Riesgos de SI

    Cargado por

    Jose Alfredo Jimenez Campos
    7 vistas26 páginas
    El documento presenta un análisis de riesgos en sistemas de información que incluye definir conceptos como probabilidad, amenaza, vulnerabilidad, activo e impacto. Luego describe tipos de riesgos como de integridad, relación, acceso y utilidad. Finalmente, explica el proceso de análisis de riesgos que involucra identificar activos, vulnerabilidades y amenazas, estimar probabilidades e impactos, y determinar controles.

    Descripción original:

    eddfewd

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    El documento presenta un análisis de riesgos en sistemas de información que incluye definir conceptos como probabilidad, amenaza, vulnerabilidad, activo e impacto. Luego describe tipos de riesgos como de integridad, relación, acceso y utilidad. Finalmente, explica el proceso de análisis de riesgos que involucra identificar activos, vulnerabilidades y amenazas, estimar probabilidades e impactos, y determinar controles.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    7 vistas26 páginas

    02 Análisis de Riesgos de SI

    Cargado por

    Jose Alfredo Jimenez Campos
    El documento presenta un análisis de riesgos en sistemas de información que incluye definir conceptos como probabilidad, amenaza, vulnerabilidad, activo e impacto. Luego describe tipos de riesgos como de integridad, relación, acceso y utilidad. Finalmente, explica el proceso de análisis de riesgos que involucra identificar activos, vulnerabilidades y amenazas, estimar probabilidades e impactos, y determinar controles.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 26

    ANÁLISIS DE RIESGOS

    Lic. Msc. Mario Cornejo


    Probabilidad de que una amenaza se materialice,
    utilizando vulnerabilidades existentes de un activo o
    de un grupo de activos, generándoles pérdidas o
    daños.
    PROBABILIDAD

    AMENAZA

    VULNERABILIDAD

    ACTIVO

    IMPACTO

    Lic. Msc. Mario Cornejo


    Qué posibilidades existen que la amenaza se
    presente, independientemente del hecho que sea o
    no contrarrestada.
     Puede establecerse de manera cuantitativa o
    cualitativa.
     Debe considerarse la existencia de acciones
    paliativas.

    Lic. Msc. Mario Cornejo


    Siempre existen y son acciones que pueden
    ocasionar consecuencias negativas en la empresa.
    Sin la identificación de vulnerabilidades no se
    materializan (no ocasionan ningún impacto).

    Fallas de hardware y software


    Accesos no autorizados
    Infecciones de virus
    Uso inadecuado de software
    Desastres ambientales (terremotos,
    inundaciones, incendios)

    Lic. Msc. Mario Cornejo


    Condiciones inherentes a los activos o
    presentes en su entorno, que facilitan que
    las amenazas se materialicen.
     Falta de conocimiento del usuario.
     Tecnología inadecuadamente
    probada (testeada).
     Transmisión por redes públicas.
     Antivirus desactualizado.

    Lic. Msc. Mario Cornejo


    Los relacionados con SI
     Datos
     Hardware
     Software
     Servicios
     Documentos
     Edificios
     Recursos humanos

    Lic. Msc. Mario Cornejo


    Consecuencias de la ocurrencia de
    las amenazas y siempre son
    negativas.
     Pérdida directa de dinero.
     Pérdida de confianza
    (reputación).
     Reducción de la eficiencia.
     Pérdida de oportunidades de
    negocio.
     Pérdida de vidas humanas.
     Afectación del medio
    ambiente.
    TIPOS DE RIESGOS
    Riesgos de integridad
    Riesgos de relación
    Riesgos de acceso
    Riesgos de utilidad
    Riesgos de infraestructura
    Riesgos de seguridad general

    Lic. Msc. Mario Cornejo


    RIESGOS DE INTEGRIDAD
    Asociados con la autorización, totalidad y exactitud de la entrada,
    procesamiento y reportes de las aplicaciones.

    Lic. Msc. Mario Cornejo


    RIESGOS DE RELACIÓN
    Se refieren al uso oportuno de la
    información creada por un SI y se
    relacionan con la información de toma
    de decisiones en el tiempo preciso.

    Lic. Msc. Mario Cornejo


    RIESGOS DE ACCESO

    Físico

    Lógico

    Lic. Msc. Mario Cornejo


    RIESGOS DE UTILIDAD
    Niveles de riesgo:
    1. Los riesgos pueden enfrentarse por el
    direccionamiento de SI antes de que
    los problemas ocurran.
    2. Técnicas de recuperación /
    restauración usadas para minimizar la
    ruptura de los sistemas.
    3. Back ups y planes de contingencia
    controlan desastres en el
    procesamiento de la información.

    Lic. Msc. Mario Cornejo


    1. Planeación organizacional
    2. Definición de aplicaciones
    3. Administración de seguridad
    4. Operaciones de red y computacionales
    5. Administración de bases de datos
    6. Información/Negocio

    Lic. Msc. Mario Cornejo


    1. Choque eléctrico: Niveles altos de voltaje
    2. Incendio: Inflamabilidad de materiales
    3. Niveles inadecuados de energía eléctrica
    4. Radiaciones: Ondas de ruido, de láser y ultrasónicas
    5. Mecánicos: Inestabilidad de las piezas eléctricas

    Lic. Msc. Mario Cornejo


    ANÁLISIS DE RIESGOS

    1. Identificar activos informáticos.


    2. Identificar vulnerabilidades y
    amenazas a que están expuestos.
    3. Estimar la probabilidad de
    ocurrencia de vulnerabilidades y
    amenazas.
    4. Evaluar el impacto de
    vulnerabilidades y amenazas
    5. Determinar controles para aceptar,
    disminuir, trasferir o evitar el riesgo.

    Lic. Msc. Mario Cornejo


    MATRIZ DE RIESGOS
    PC Instalacione Efectividad Riesgo
    Amenazas Probabilidad Servidores Datos Personal Riesgo Total
    Usuarias s Control Residual
    1% 10 5 8 62 41 1.26 100% 0.00
    Incendio

    Accesos no 20% 1 0 12 0 0 2.6 50% 1.30


    autorizados

    Fallas 25% 0.5 0.5 2 0 0 0.75 50% 0.38

    Virus 30% 2 3 1 0 0 1.8 80% 0.36

    Lic. Msc. Mario Cornejo


    PONDERACIÓN DE PROBABILIDAD
    E IMPACTO DE RIESGOS

    Ponderación de Probabilidad Ponderación del Impacto

    Probabilidad Ponderación Impacto Ponderación


    Baja 1 Bajo 1
    Media 2 Medio 2
    Alta 3 Alto 3

    Lic. Msc. Mario Cornejo


    CÁLCULO MATEMÁTICO
    ER = PO x I
    ER = EXPOSICIÓN AL RIESGO

    PO = PROBABILIDAD DE OCURRENCIA

    I = IMPACTO REFLEJADO EN PÉRDIDA ESTIMADA

    Lic. Msc. Mario Cornejo


    OBTENCIÓN DE LA EXPOSICIÓN AL RIESGO
    ( PO X I = ER) ( PO X I = ER) ( PO X I = ER)
    PROBABILIDAD DE OCURRENCIA

    ALTA (3) Alto/bajo = Medio Alto/medio = Alto Alto/alto = Alto


    (3 X 1 = 3) (3 X 2 = 6) (3 X 3 = 9)
    ( PO X I = ER) ( PO X I = ER) ( PO X I = ER)
    MEDIA (2) Medio/bajo = bajo Medio/medio = Medio Medio/alto = Alto
    (2 X 1 = 2) (2 X 2 = 4) (2 X 3 = 6)
    ( PO X I = ER) ( PO X I = ER) ( PO X I = ER)
    BAJA (1) Bajo/bajo = Bajo Bajo/medio = Bajo Bajo/alto = Medio
    (1 X 1 = 1) (1 X 2 = 2) (1 X 3 = 3)
    BAJO(1) MEDIO(2) ALTO(3)
    I M P A C TO

    Lic. Msc. Mario Cornejo


    PONDERACIÓN DE LA ER

    Bajo = 1 a 2

    Medio = 3 a 5

    Alto = 6 a 9
    Lic. Msc. Mario Cornejo
    TRATAMIENTO
    DEL RIESGO RESIDUAL

    Lic. Msc. Mario Cornejo


    Lic. Msc. Mario Cornejo
    Lic. Msc. Mario Cornejo
    APO12 Gestionar el riesgo
    Descripción del proceso
    Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de
    niveles de tolerancia establecidos por la dirección ejecutiva de la empresa.

    APO12.01 Recopilar datos

    APO12.02 Analizar el riesgo


    Prácticas clave

    APO12.03 Mantener un perfil de riesgo

    APO12.04 Expresar el riesgo

    APO12.05 Definir un portafolio de acciones para la gestión de riesgos

    APO12.06 Responder al riesgo

    Lic. Msc. Mario Cornejo


    APO13 Gestionar la seguridad
    Descripción del proceso
    Definir, operar y supervisar un sistema para la gestión de la seguridad de la información.

    APO13.01 Establecer y mantener


    Prácticas clave

    un SGSI

    APO13.02 Definir y gestionar un


    plan de tratamiento del riesgo de
    la seguridad de la información.

    APO13.03 Supervisar y revisar el


    SGSI

    Lic. Msc. Mario Cornejo


    DSS05 Gestionar servicios de seguridad
    Descripción del proceso
    Proteger la información de la empresa para mantener aceptable el nivel de riesgo de seguridad de la
    información de acuerdo con la política de seguridad. Establecer y mantener los roles de seguridad y
    privilegios de acceso de la información y realizar la supervisión de la seguridad.

    DSS05.01 Proteger contra software malicioso (malware)

    DSS05.02 Gestionar la seguridad de la red y las conexiones

    Lic. Msc. Mario Cornejo


    Prácticas clave

    DSS05.03 Gestionar la seguridad de los puestos de usuario final

    DSS05.04 Gestionar la identidad del usuario y el acceso lógico

    DSS05.05 Gestionar el acceso físico a los activos de TI

    DSS05.06 Gestionar documentos sensibles y dispositivos de salida

    DSS05.07 Supervisar la infraestructura para detectar eventos relacionados con la seguridad

    También podría gustarte