Analisis de riesgos

Solo disponible en BuenasTareas
  • Páginas : 14 (3367 palabras )
  • Descarga(s) : 0
  • Publicado : 3 de diciembre de 2010
Leer documento completo
Vista previa del texto
FIST Conference Abril/Madrid 2005 @

>Análisis y Gestión de Riesgos
Fernando Aparicio, 8/4/2005

1

Security Xperts

• Niveles de madurez de la seguridad
NIVEL 5 Certificación
• Certificación de sistemas y procesos • Certificación de actividades de comercio electrónico • Sellos de confianza

NIVEL 4

Gestión global de Riesgos de los Sistemas Gestión del Proceso de seguridadCumplimiento de la legislación sobre seguridad “Sentido común”

• Análisis de Riesgos • Gestión centralizada de la seguridad • Planes de continuidad de negocio

NIVEL 3

• Planes Directores de Seguridad • Políticas, procesos y procedimientos de seguridad • Procesos de respuesta a incidentes

NIVEL 2

• Adaptación a ley de protección de datos (LOPD) • Adaptación a ley de servicios de lasociedad de la información y el comercio electrónico (LSSI-CE) Nivel medio actual en España

NIVEL 1

• Controles básicos: antivirus, cortafuegos, copias de seguridad (backups), usuarios y contraseñas, etc.

2

Security Xperts

Procesos: - Metodología para integrar la seguridad 15% en el proceso productivo

10%

Evaluación del riesgo: - Identificación de puntos débiles - Medición delriesgo

15% 20%
Definición de una política de seguridad

Tecnología: - Actualizaciones diarias -“Securizar” sistemas actuales - Controles periódicos
3

Sensibilización: 40% -Formación de personal IT -Formación de usuario final -Outsourcing de la seguridad

Security Xperts

4

Security Xperts

>Analizando los riesgos
Un Análisis de Riesgos es un procedimiento de ayuda a la decisión.Sus resultados constituyen una guía para que la organización pueda tomar decisiones sobre si es necesario implantar nuevos mecanismos de seguridad y qué controles o procesos de seguridad serán los más adecuados Una vez conocidos los riesgos, la organización puede decidir qué medidas tomar dependiendo de una serie de factores (costes de la implantación de controles que reduzcan los riesgos vs.costes derivados de las consecuencias de la materialización de estos riesgos): • Mitigar el riesgo, mediante la implantación y mantenimiento de controles de seguridad que minimicen estos riesgos y los mantengan a un nivel aceptable (lo cual implica inversiones económicas) • Asumir ciertos riesgos a los que está expuesta la organización ya que las consecuencias acarrean un coste económico y estratégicomenor que el coste que sería necesario aportar para reducir dichos riesgos • Transferir estos riesgos, bien a un prestador de servicios especializado mediante un SLA o bien mediante la contratación de una póliza de riesgo electrónico
5

Security Xperts

>Analizando los riesgos
El nivel de riesgo al que está sometido una organización nunca puede erradicarse totalmente. Se trata de buscar unequilibrio entre el nivel de recursos y mecanismos que es preciso dedicar para minimizar estos riesgos y un cierto nivel de confianza que se puede considerar suficiente (nivel de riesgo aceptable) Grado de confianza (a menor confianza mayor riesgo)

Seguridad perfecta Riesgo

Nivel de implantación y mantenimiento de mecanismos de seguridad (a mayor nivel mayor coste económico)
6
SecurityXperts

>Analizando los riesgos
A pesar de ser un procedimiento que se puede ejecutar de forma sistemática, en un análisis de riesgos es necesario realizar determinadas tareas y estimaciones de forma totalmente imparcial y objetiva: • Inventariar los activos e identificar las amenazas que existen sobre ellos • Identificar las vulnerabilidades presentes en los activos • Estimación de laprobabilidad con la que las amenazas pueden explotar las vulnerabilidades de los activos • Estimación del impacto en el negocio en caso de que ciertas amenazas se hagan efectivas • Estimación de si se puede asumir el riesgo, es necesario invertir en la implantación o actualización de controles de seguridad o se puede transferir el riesgo a terceras partes Si estos factores no se evalúan con total...
tracking img