Anlisis de Riesgos

Qu es el Anlisis de Riesgos?
Definicin de anlisis de riesgos



El anlisis de Riesgos es
Una actividad centrada en la identificacin de fallas de seguridad que evidencien vulnerabilidades
que puedan ser explotados por amenazas, provocando impactos en los negocios de la organizacin.
Una actividad de anlisis pretende, a travs del rastreo, identificar los riesgos a los cuales los activos
se encuentran expuestos
.. Ademas una actividad que tiene por
resultado:
Encontrar la consolidacin de las vulnerabilidades para
identificar los pasos a seguir para su correccin
Identificar las amenazas que pueden explotar esas
vulnerabilidades y de esta manera llegar a su correccin o
eliminacin
Identificar los impactos potenciales que pudieran tener
los incidentes y de esta forma aprovechar las
vulnerabilidades encontradas.
Determinar las recomendaciones para que las amenazas
sean corregidas o reducidas
Esquema de la Relacin Amenaza-incidente-impacto
Amenazas
Aprovechan las
vulnerabilidades
encontradas en los
sistemas que se
convierten en:
Incidentes
Impactos
Que Originan
Hechos que deben de ser
evitados en una
organizacin
Los impactos pueden
ser desastrosos segn
su amplitud y gravedad.
Sin importar el tipo de
incidente se tiene que
evaluar el impacto en
los activos de la
empresa
Momento y mbitos del Anlisis de Riesgos
El anlisis de riesgos
puede ocurrir antes o
despus de la definicin
de una poltica de
seguridad, segn la
norma BS/ISO/IEC 17799
Es una medida que
busca establecer los
estndares de
seguridad a ser
seguidos por todos
los involucrados con
el uso y
mantenimiento de
los activos.
Politica de
Seguridad
FACTOR ACCIN
Valor alto o alta exposicin de los
bienes afectados
Disminuir el margen de tiempo
Histricamente los bienes atacados
son afectados
Disminuir el margen de tiempo

Factores atenuadores Aumentar el margen de tiempo
Bajo riesgo de exposicin para los
bienes afectados

Aumentar el margen de tiempo

Algunos factores que pueden ser considerados
y que influyen en el anlisis de riesgos
mbitos del Anlisis de Riesgos
El anlisis de riesgos puede ser realizado en distintos mbitos, puesto que la implementacin de seguridad pretende
corregir el entorno en que se encuentra la informacin.
Generacin Almacenamiento
Transito Procesamiento
mbito Descripcin Aspectos por analizar
Tecnolgico Conocimiento de las configuraciones y de la
disposicin topolgica de los activos
Los usuarios que la utilizan
La Infraestructura que la respalda
Humano Las maneras en que las personas se relacionan con los
activos.
Vulnerabilidades provenientes de acciones humanas
Nivel de acceso
Restricciones y permisos
Capacitacin

Procesos Identificar los eslabones entre las actividades y los
insumos necesarios para su realizacin
El activo principal es el tipo de usuario e informacin
Personas involucradas en el flujo de informacin
Evaluar el uso indebido de la informacin por
personas no calificadas
Fsico Identificar en la infraestructura fsica vulnerabilidades
que traigan algn perjuicio a los activos.
Todo lo que provee soporte fsico al entorno en que
se manipula la informacin
Fallas en la localizacin fsica
Evaluar impacto de accesos indebidos
Evaluar el impacto de desastres ambientales
Relevancia de los procesos de negocio y
sus activos en el anlisis de seguridad
La identificacin de la
relevancia de los procesos de
negocio en la organizacin, es
determinante para que las
acciones de seguridad sean
dirigidas a las reas mas
crticas o de mayor prioridad.
Este trabajo tambin permite
dar prioridad a las acciones
que son mas urgentes, al
dirigir tambin los costos y
optimizar los recursos donde
realmente sean necesarios
El modelo STRIDE proporciona una estructura valiosa y fcil de recordar para
identificar las amenazas y los posibles puntos dbiles.
Tipo de Amenazas Ejemplos
Suplantacin Falsificar mensajes de correo electrnico
Reproducir paquetes de autenticacin
Alteracin Reproducir paquetes de autenticacin
Alterar datos durante la transmisin
Cambiar datos en archivos
Repudio Eliminar un archivo escencial y denegarlo
Adquirir un producto y negar la adquisicin
Divulgacin de
informacin
Exponer la informacin en mensajes de error
Exponer el cdigo en los sitios web
Denegacin de servicio Inundar una red con paquetes de sincronizacin
Inundar una red con ICMP falsos
Elevacin de privilegios Explotar saturacin de buffer para obtener privilegios
en el sistema
Obtener privilegios de administrador de forma
ilegitima
Anlisis Tcnico
Fueron configurados
La forma en que son administrados
Como estn estructurados en la red
El anlisis tcnico recopila
informacin sobre la forma
en que los activos:
Activos tecnolgicos a analizar
Estaciones de trabajo Protectores de pantalla
Configuraciones de seguridad
Disponibilidad
servidores Archivos, configuracin y definicin de usuarios que tienen derechos
Equipos de conectividad Deteccin de configuraciones que ponen en riesgo las conexiones realizadas
Dispositivos de ruteo, mdems, parmetros, etc.
Conexiones Forma en que las conexiones estn configuradas y dispuestas en la representacin
topolgica de la red
Bases de datos Privilegios de usuarios en relacin a permisos de uso.
Aplicaciones Las aplicaciones deben garantizar un acceso restrictivo, con base en los privilegios de
cada usuario
Anlisis de Seguridad Fsica
Exceso de humedad y calor
Disposicin de los cables
Reestructuraciones fsicas
El anlisis de seguridad fsica pretende
analizar los entornos donde se
realizan actividades relacionadas con
los procesos de negocio:
Activos Fsicos a analizar
Disposicin
Organizativa
Organizacin del espacio respecto a los muebles y los activos de informacin
reas de circulacin de personas
Activos de alta importancia protegidos
Sistemas de combate
a incendios
Detectores de humo
Aspersores de agua
Extintores
Control de Acceso
Cmaras de video
Trinquetes
Personal de Seguridad
Exposicin al clima y
medio ambiente
Disposicin de puertas y ventanas
Amenazas naturales como viento o lluvia
Topografa
Localizacin del centro de procesamiento de datos
Subsuelo
Ros
Resultados del anlisis de Riesgos
El anlisis de riesgos tiene como resultado los
informes de recomendaciones de seguridad,
para que la organizacin pueda evaluar los
riesgos a que esta sometida y conocer cuales
son los activos de los procesos de negocio que
estn mas susceptibles a la accin de amenazas
a la confidencialidad, integridad y
disponibilidad de la informacin utilizada para
alcanzar los objetivos de la organizacin