Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEGURIDAD TI
2021-2
Practica la puntualidad
Respeta el turno de
participación
RIESGO Y GESTION DEL RIESGO
Riesgo
• Es una combinación de amenazas, vulnerabilidades e impactos.
• Las amenazas son eventos que aprovechan las vulnerabilidades y pueden causar daños.
• El impacto es el resultado de una vulnerabilidad al ser explotada por una amenaza.
• La evaluación del riesgo compara el riesgo estimado en el análisis con los criterios predefinidos con el fin de
identificar la importancia de cada riesgo para la organización.
• Aceptación de riesgos incluye la identificación del nivel aceptable de riesgos para una organización en
función de sus necesidades específicas de negocio y seguridad.
• La comunicación de riesgos involucra iniciativas para mostrar los riesgos a los empleados, directivos y
terceros (estos últimos, cuando sea apropiado y necesario).
IMPORTANTE
• Identificar las amenazas e impactos, la probabilidad de la ocurrencia de las amenazas y riesgos potenciales.
• Clasificar los riesgos por:
Nivel de importancia
Gravedad de las pérdidas
Costos involucrados en la prevención
Costos de recuperación de desastres.
• Qué pasa si el costo para evitar una amenaza es mayor que su daño potencial?
• Análisis de las amenazas y vulnerabilidades busca identificar la probabilidad de ocurrencia de cada evento
adverso y las consecuencias de los daños
• En cambio el análisis de impacto identificar los recursos críticos para la organización; es decir, los que más
sufren con los daños.
• Hacer una lista de amenazas potenciales, de los recursos afectados, de los requisitos de seguridad
afectados y el grado de impacto (por ejemplo, muy alto, alto, moderado, bajo y muy bajo)
GESTION DEL RIESGO
• Se recomienda:
Acciones preventivas
De carácter estructural (por ejemplo, una política formal para el control de acceso lógico)
Acciones correctivas, como una emergencia (planes de contingencia, por ejemplo)
Ilustrativas, con carácter educativo (entrenamientos, folletos, conferencias, etc.).
GESTION DEL RIESGO
Consideraciones:
• Deben ser sistemáticas.
• Deben utilizar métodos concretos.
• Se deben realizar periódicamente.
IMPORTANTE
Debe utilizar métodos específicos para permitir la comparación entre los resultados obtenidos y su
reproducción.
Debe realizarse periódicamente o cuando los requisitos de seguridad, activos, vulnerabilidades y / o los
objetivos de negocio sufren algún cambio
ANALIZANDO LOS RIESGOS
Preguntas
Cuáles son los daños probables al negocio resultantes de fallas de
seguridad?
Cuál es la probabilidad de que las fallas ocurran frente a las
vulnerabilidades y amenazas existentes?
Ej.
• Con controles de acceso inadecuados, se producen impactos
tales como:
Modificación no autorizada de datos y aplicaciones
Revelación no autorizada de información
Esto causa problemas directos para la organización.
Ejercicio:
Ej:
El análisis y la evaluación de riesgos realizada en temporadas
anteriores.
¿Qué más?
ANÁLISIS DE LOS IMPACTOS
La evaluación de riesgos
o
Convenciones utilizadas
ANÁLISIS DE LOS IMPACTOS
Para el ejemplo el activo analizado es la red de la organización.
Algunas convenciones se utilizaron para mapear la importancia de
los servicios seguridad: disponibilidad, integridad y criticidad.
Tenerse cuenta:
Requisitos legales, reglamentarios, contractuales y de seguridad
Objetivos de negocio
Relación costo-beneficio para la adquisición/implementación de
las medidas de seguridad en relación con los riesgos que deben
ser reducidos.
ANÁLISIS DE LOS IMPACTOS