Word
Páginas: 15 (3509 palabras)
Publicado: 20 de octubre de 2012
Uso de Matrices de Riesgos y conceptos referentes a Amenazas y Riesgos de la Seguridad Informática |
|
|
|
|
Nkta_mtz |
19/10/2011 |
|
APLICACIÓN DE LA SEGURIDAD INFORMÁTICA
Concepto de riesgo
En el ámbito de la Seguridad Informática, el método más usado es el Análisis de Riesgo.
La valoración del riesgo basada en la formula matemática
Riesgo = Probabilidad deAmenaza x Magnitud de Daño
Para la presentación del resultado (riesgo) se usa una gráfica de dos dimensiones, en la cual, el eje-x (horizontal, abscisa) representa la “Probabilidad de Amenaza” y el eje-y (vertical, ordenada) la “Magnitud de Daño”. La Probabilidad de Amenaza y Magnitud de Daño pueden tomar condiciones entre Insignificante (1) y Alta (4). En la practica no es necesario asociar valoresaritméticos a las condiciones de las variables, sin embargo facilita el uso de herramientas técnicas como hojas de calculo.
Nota: La escala (4 condiciones) de la Probabilidad de Amenaza y Magnitud de Daño no es fijo y puede ser adaptada y afinada a las necesidades propias. En diferentes literaturas, particularmente la Probabilidad de Amenaza puede tomar hasta seis diferentes condiciones.
En elproceso de analizar un riesgo también es importante de reconocer que cada riesgo tiene sus características [4]:
* Dinámico y cambiante (Interacción de Amenazas y Vulnerabilidad).
* Diferenciado y tiene diferentes caracteres (caracteres de Vulnerabilidad).
* No siempre es percibido de igual manera entre los miembros de una institución que tal vez puede terminar en resultadosinadecuados y por tanto es importante que participan las personas especialistas de los diferentes elementos del sistema (Coordinación, Administración financiera, Técnicos, Conserje, Soporte técnico externo etc.).
* Entre más alta la Probabilidad de Amenaza y Magnitud de Daño, más grande es el riesgo y el peligro al sistema, lo que significa que es necesario implementar medidas de protección.Probabilidad de Amenaza
Se habla de un Ataque, cuando una amenaza se convirtió en realidad, es decir cuando un evento se realizó. Pero el ataque no dice nada sobre el éxito del evento y sí o no, los datos e informaciones fueron perjudicado respecto a su confidencialidad, integridad, disponibilidad y autenticidad.
Para estimar la Probabilidad de Amenaza nos podemos hacer algunas preguntas
¿Cuál esel interés o la atracción por parte de individuos externos, de atacarnos?
Algunas razones pueden ser que manejamos información que contiene novedades o inventos, información comprometedora etc, tal vez tenemos competidores en el trabajo, negocio o simplemente por el imagen o posición pública que tenemos.
¿Cuáles son nuestras vulnerabilidades?
Es importante considerar todos los grupos devulnerabilidades. También se recomienda incluir los expertos, especialistas de las diferentes áreas de trabajo para obtener una imagen más completa y más detallada sobre la situación interna y el entorno.
¿Cuántas veces ya han tratado de atacarnos?
Ataques pasados nos sirven para identificar una amenaza y si su ocurrencia es frecuente, más grande es la probabilidad que pasará otra vez. En el casode que ya tengamos implementadas medidas de protección es importante llevar un registro, que muestra los casos cuando la medida se aplico exitosamente y cuando no. Porque de tal manera, sabemos en primer lugar si todavía existe la amenaza y segundo, cuál es su riesgo actual.
Considerando todos los puntos anteriores, nos permite clasificar la Probabilidad de Amenaza. Sin embargo, antes tenemosque definir el significado de cada condición de la probabilidad (Baja, Mediana, Alta). Las definiciones mostradas en la imagen anterior solo son un ejemplo aproximado, pero no necesariamente refleja la realidad y la opinión común y por tanto se recomienda que cada institución defina sus propias condiciones.
Magnitud de Daño
Se habla de un Impacto, cuando un ataque exitoso perjudicó la...
|
|
|
|
Nkta_mtz |
19/10/2011 |
|
APLICACIÓN DE LA SEGURIDAD INFORMÁTICA
Concepto de riesgo
En el ámbito de la Seguridad Informática, el método más usado es el Análisis de Riesgo.
La valoración del riesgo basada en la formula matemática
Riesgo = Probabilidad deAmenaza x Magnitud de Daño
Para la presentación del resultado (riesgo) se usa una gráfica de dos dimensiones, en la cual, el eje-x (horizontal, abscisa) representa la “Probabilidad de Amenaza” y el eje-y (vertical, ordenada) la “Magnitud de Daño”. La Probabilidad de Amenaza y Magnitud de Daño pueden tomar condiciones entre Insignificante (1) y Alta (4). En la practica no es necesario asociar valoresaritméticos a las condiciones de las variables, sin embargo facilita el uso de herramientas técnicas como hojas de calculo.
Nota: La escala (4 condiciones) de la Probabilidad de Amenaza y Magnitud de Daño no es fijo y puede ser adaptada y afinada a las necesidades propias. En diferentes literaturas, particularmente la Probabilidad de Amenaza puede tomar hasta seis diferentes condiciones.
En elproceso de analizar un riesgo también es importante de reconocer que cada riesgo tiene sus características [4]:
* Dinámico y cambiante (Interacción de Amenazas y Vulnerabilidad).
* Diferenciado y tiene diferentes caracteres (caracteres de Vulnerabilidad).
* No siempre es percibido de igual manera entre los miembros de una institución que tal vez puede terminar en resultadosinadecuados y por tanto es importante que participan las personas especialistas de los diferentes elementos del sistema (Coordinación, Administración financiera, Técnicos, Conserje, Soporte técnico externo etc.).
* Entre más alta la Probabilidad de Amenaza y Magnitud de Daño, más grande es el riesgo y el peligro al sistema, lo que significa que es necesario implementar medidas de protección.Probabilidad de Amenaza
Se habla de un Ataque, cuando una amenaza se convirtió en realidad, es decir cuando un evento se realizó. Pero el ataque no dice nada sobre el éxito del evento y sí o no, los datos e informaciones fueron perjudicado respecto a su confidencialidad, integridad, disponibilidad y autenticidad.
Para estimar la Probabilidad de Amenaza nos podemos hacer algunas preguntas
¿Cuál esel interés o la atracción por parte de individuos externos, de atacarnos?
Algunas razones pueden ser que manejamos información que contiene novedades o inventos, información comprometedora etc, tal vez tenemos competidores en el trabajo, negocio o simplemente por el imagen o posición pública que tenemos.
¿Cuáles son nuestras vulnerabilidades?
Es importante considerar todos los grupos devulnerabilidades. También se recomienda incluir los expertos, especialistas de las diferentes áreas de trabajo para obtener una imagen más completa y más detallada sobre la situación interna y el entorno.
¿Cuántas veces ya han tratado de atacarnos?
Ataques pasados nos sirven para identificar una amenaza y si su ocurrencia es frecuente, más grande es la probabilidad que pasará otra vez. En el casode que ya tengamos implementadas medidas de protección es importante llevar un registro, que muestra los casos cuando la medida se aplico exitosamente y cuando no. Porque de tal manera, sabemos en primer lugar si todavía existe la amenaza y segundo, cuál es su riesgo actual.
Considerando todos los puntos anteriores, nos permite clasificar la Probabilidad de Amenaza. Sin embargo, antes tenemosque definir el significado de cada condición de la probabilidad (Baja, Mediana, Alta). Las definiciones mostradas en la imagen anterior solo son un ejemplo aproximado, pero no necesariamente refleja la realidad y la opinión común y por tanto se recomienda que cada institución defina sus propias condiciones.
Magnitud de Daño
Se habla de un Impacto, cuando un ataque exitoso perjudicó la...
Leer documento completo
Regístrate para leer el documento completo.