Riesgos
Páginas: 6 (1279 palabras)
Publicado: 17 de marzo de 2012
Sesión 26
Evaluación de procesos, análisis y gestión de riesgos
Los conocimientos técnicos son una parte de la seguridad.
En las organizaciones más pequeñas el gobierno de la seguridad está integrado en las áreas técnicas.
Segregar la seguridad fuera de las áreas técnicas.
Fuera de las áreas técnicas.
El análisis de riesgos es una forma de ver los contratiempos.
El conocimientotécnico se subcontrata.
Conocer los puntos vulnerables de la organización. Conocer los procesos críticos de la organización. La seguridad no es un estado es un proceso.
Un riesgo es una contingencia o proximidad de un daño.
Conocer los riesgos existentes. No se puede obtener la foto real de todos los riesgos.
Tras conocer los riesgos hay que gestionarlos.
El riesgo se puede minimizar hastalímites aceptables.
Mitigar los riesgos.
Asumir los riesgos.
Transferir los riesgos.
El asumir riesgos conlleva un riesgo.
Hay que cuantificar para justificar los riesgos.
Las decisiones se toman por impacto económico.
[pic]
http://joanps.freehostia.com/es/security/hacking-hash-passwords/
ROSI: Retorno de inversión de seguridad.
Análisis de riesgos.
Un gasto no implica unretorno económico a la empresa.
La seguridad no es un gasto, es una inversión.
Es difícil justificar un ROSI.
No hay un conocimiento real de las vulnerabilidades que tiene la empresa.
La mejor seguridad es cuando no ocurre nada, no es tangible, no es cuantitativo.
Las vulnerabilidades técnicas son más conocidas. Cuadros de mando.
No son todas las vulnerabilidades de seguridad.El mayor peligro es el hombre desinformado con elevados privilegios.
Las máquinas nuevas deben pasar un proceso de securización/certificación.
Seguridad 50% | Gestión 50%
La seguridad tiene que estar en línea con los intereses de la empresa.
Analizar el impacto económico de no tomar medidas de seguridad.
Estudiar la moral de los empleados.
Para estudiar riesgos se emplea Businesscases (¿Qué pasaría si?) (Rosi)
La gestión de riesgo se entiende como la aplicación sistemática de políticas, normativas …
En la mayoría de los casos no se conoce donde encontrar las normativas de seguridad (nomatel-> telefónica documentación)
Auditoría -> buenas prácticas.
Un buen análisis de riesgos justifica inversiones.
Dar ratio coste impacto.
Identificar los elementos máscríticos para el negocio.
Sirve para el desarrollo de los planes de seguridad y de continuidad (análisis de riesgos).
Considerar el tiempo de recuperación en caso de incidente.
Los planes de continuidad (empresa se ha incendiado) no reparar todo, solo lo más crítico (¿Qué es lo más crítico?).
Recabar el apoyo de la dirección (obtener el beneplácito de los directivos).
Seleccionarun equipo de trabajo. (gente con conocimientos para que puedan guiar).
Es preciso obtener información. (Obtener información que no se puede ver con aplicaciones).
(riesgos físicos->>>> centralita y tuberías)
El análisis de riesgos no lo es todo en seguridad.
Ciclo iterativo de control de seguridad (cambiar/mejorar políticas)
Tras analizar riesgos surge un plan de seguridad y un plan(día día) de continuidad (caso)
Un activo puede ser humano (técnico que lo controla todo).
Waltzing With Bears: Managing Risk on Software Projects [Illustrated] (Paperback)
Considerar riesgos del entorno y de la zona.
Hay metodologías de riesgos como NIST.
AENOR, BS y NIST
Conocer las dependencias de unos activos con otros a la hora de analizar activos.
1 Paso -> valoraractivos y establecer sus relaciones (no valor material) (hay máquinas caras con información prescindible, valor de la información).
Las dependencias de los activos deben ser identificadas. (fuentes de alimentación)
El fallo de un activo puede repercutir sobre activos terceros y sobre actividades.
La valoración de una activo se puede realizar de dos formas :
Valoración intrínseca del...
Evaluación de procesos, análisis y gestión de riesgos
Los conocimientos técnicos son una parte de la seguridad.
En las organizaciones más pequeñas el gobierno de la seguridad está integrado en las áreas técnicas.
Segregar la seguridad fuera de las áreas técnicas.
Fuera de las áreas técnicas.
El análisis de riesgos es una forma de ver los contratiempos.
El conocimientotécnico se subcontrata.
Conocer los puntos vulnerables de la organización. Conocer los procesos críticos de la organización. La seguridad no es un estado es un proceso.
Un riesgo es una contingencia o proximidad de un daño.
Conocer los riesgos existentes. No se puede obtener la foto real de todos los riesgos.
Tras conocer los riesgos hay que gestionarlos.
El riesgo se puede minimizar hastalímites aceptables.
Mitigar los riesgos.
Asumir los riesgos.
Transferir los riesgos.
El asumir riesgos conlleva un riesgo.
Hay que cuantificar para justificar los riesgos.
Las decisiones se toman por impacto económico.
[pic]
http://joanps.freehostia.com/es/security/hacking-hash-passwords/
ROSI: Retorno de inversión de seguridad.
Análisis de riesgos.
Un gasto no implica unretorno económico a la empresa.
La seguridad no es un gasto, es una inversión.
Es difícil justificar un ROSI.
No hay un conocimiento real de las vulnerabilidades que tiene la empresa.
La mejor seguridad es cuando no ocurre nada, no es tangible, no es cuantitativo.
Las vulnerabilidades técnicas son más conocidas. Cuadros de mando.
No son todas las vulnerabilidades de seguridad.El mayor peligro es el hombre desinformado con elevados privilegios.
Las máquinas nuevas deben pasar un proceso de securización/certificación.
Seguridad 50% | Gestión 50%
La seguridad tiene que estar en línea con los intereses de la empresa.
Analizar el impacto económico de no tomar medidas de seguridad.
Estudiar la moral de los empleados.
Para estudiar riesgos se emplea Businesscases (¿Qué pasaría si?) (Rosi)
La gestión de riesgo se entiende como la aplicación sistemática de políticas, normativas …
En la mayoría de los casos no se conoce donde encontrar las normativas de seguridad (nomatel-> telefónica documentación)
Auditoría -> buenas prácticas.
Un buen análisis de riesgos justifica inversiones.
Dar ratio coste impacto.
Identificar los elementos máscríticos para el negocio.
Sirve para el desarrollo de los planes de seguridad y de continuidad (análisis de riesgos).
Considerar el tiempo de recuperación en caso de incidente.
Los planes de continuidad (empresa se ha incendiado) no reparar todo, solo lo más crítico (¿Qué es lo más crítico?).
Recabar el apoyo de la dirección (obtener el beneplácito de los directivos).
Seleccionarun equipo de trabajo. (gente con conocimientos para que puedan guiar).
Es preciso obtener información. (Obtener información que no se puede ver con aplicaciones).
(riesgos físicos->>>> centralita y tuberías)
El análisis de riesgos no lo es todo en seguridad.
Ciclo iterativo de control de seguridad (cambiar/mejorar políticas)
Tras analizar riesgos surge un plan de seguridad y un plan(día día) de continuidad (caso)
Un activo puede ser humano (técnico que lo controla todo).
Waltzing With Bears: Managing Risk on Software Projects [Illustrated] (Paperback)
Considerar riesgos del entorno y de la zona.
Hay metodologías de riesgos como NIST.
AENOR, BS y NIST
Conocer las dependencias de unos activos con otros a la hora de analizar activos.
1 Paso -> valoraractivos y establecer sus relaciones (no valor material) (hay máquinas caras con información prescindible, valor de la información).
Las dependencias de los activos deben ser identificadas. (fuentes de alimentación)
El fallo de un activo puede repercutir sobre activos terceros y sobre actividades.
La valoración de una activo se puede realizar de dos formas :
Valoración intrínseca del...
Leer documento completo
Regístrate para leer el documento completo.