Analisis De Riesgo
Páginas: 11 (2608 palabras)
Publicado: 16 de junio de 2015
Introduction to Risk
Assessment
Agenda
• Riesgos de Seguridad de la Información
• Gestión de Riesgos
• Modelo Pragmático de Riesgo
• Mitigación de Riesgos y sus componentes
• Activos
• Componentes de Riesgos
• Identificación de Riesgos
Riesgos de Seguridad de la Información
• Riesgo en Seguridad de la Información:
– Un riesgo de seguridad es el potencial que tiene una amenaza
para explotarvulnerabilidades que le permitan causar pérdida o
daño a un bien o a un grupo de bienes de la organización.
• Ejemplos de Riesgos en la Seguridad de la Información:
– Intrusión y uso no autorizado de recursos de los sistemas
– Denegación del servicio
– Pérdida de información
– Corrupción de datos
– Hurto de información
– Divulgación no autorizada
Gestión de Riesgos
Contramedidas
SalvaguardiasVulnerabilidad
Amenaza
Controles
Impacto
Activo
RRHH/Datos
Instalaciones
HW/SW
Modelo Pragmático de Riesgo
Riesgo = Amenaza * Vulnerabilidad * Impacto
•
SI
– Amenaza 0, o
– Vulnerabilidad 0, o
– Impacto 0
•
ENTONCES
– Riesgo CERO ?
Modelo de Riesgo de ICSA.NET
Modelo Pragmático de Riesgo
Riesgo = Amenaza * Vulnerabilidad * Impacto
•
SI
– Amenaza Alta, Media, Baja 3,2,1– Vulnerabilidad Alta, Media, Baja 3,2,1
– Impacto Alto, Medio, Bajo 3,2,1
•
ENTONCES
– Riesgo (3x3x3) ... (1x1x1) 27 ... 1
Modelo Pragmático de Riesgo
Riesgo = Amenaza * Vulnerabilidad * Impacto
La probabilidad de ocurrencia del impacto está dado por la
contemporaneidad entre una determinada amenaza y la
existencia de una vulnerabilidad explotable.
Riesgo = probabilidad * Impacto Mitigación del Riesgo y sus componentes
Agente de
la amenaza
Activa
Amenaza
Puede explotar
Interviene
directamente
Protección
Vulnerabilidad
Evidencia
RIESGO
Puede ser
contrarrestado
Activo
Exposición
Representa una
Puede Dañar
Activos
• La Información es un activo
vital de la empresa
Presente en
elementos
“comunes”
Activos
•
Corresponden a aquellos componentes de laorganización (tangibles e
intangibles) que son parte del patrimonio de la misma y necesitan ser
resguardados por presentar vulnerabilidades a algún tipo de amenaza.
•
Los activos se pueden categorizar en:
– Activos de información y datos
– Documentos en papel
– Activos de software
– Activos físicos (hardware, instalaciones, inventario de productos)
– Personal
– Imagen y reputación o plusvalía de lacompañía
– Servicios
Componentes del Riesgo
• Amenazas (Threat)
– Agente, interno o externo a la empresa, que genera peligros sobre
la confidencialidad, integridad y disponibilidad de los activos de
información
– Cualquier agente que presente un daño potencial a la información,
los sistemas o las instalaciones críticas.
Componentes del Riesgo
– Actos accidentales:
• Errores causados por personas
•Desastres naturales
• Fallas de los equipos
• Fallas de funcionamiento en las comunicaciones
– Actos deliberados
• Robo
• Sabotaje / Vandalismo
• Uso indebido de los recursos
Componentes del Riesgo
• Vulnerabilidades
– Debilidades o ausencia de controles que posibilitan la ocurrencia de
eventos no deseados y ponen en riesgo los activos de la empresa.
– Corresponde a una debilidad del software,hardware o
procedimiento que puede proveer a un posible atacante la “puerta
abierta” que él espera encontrar para ingresar a un computador o a
la red ganando acceso no autorizado a los recursos del entorno.
También se aplica al acceso no autorizado a las dependencias de la
empresa.
Componentes del Riesgo
• Vulnerabilidades
– Ejemplos:
• Sistemas de software sin últimos patchs de seguridad.
•Servicios (ports) innecesarios, abiertos en el perímetro Internet.
• Uso de passwords por omisión.
• Falta de vigilancia para control de acceso físico.
¿Qué podemos hacer ?
• Los riesgos no se eliminan, se gestionan
• Debe existir relación entre los activos a proteger y el costo
Seguridad
del control
$
Alto
$ Costo de
Seguridad
v/s Exposición
Bajo
-$
Nivel de Seguridad
Alto
Exposición...
Assessment
Agenda
• Riesgos de Seguridad de la Información
• Gestión de Riesgos
• Modelo Pragmático de Riesgo
• Mitigación de Riesgos y sus componentes
• Activos
• Componentes de Riesgos
• Identificación de Riesgos
Riesgos de Seguridad de la Información
• Riesgo en Seguridad de la Información:
– Un riesgo de seguridad es el potencial que tiene una amenaza
para explotarvulnerabilidades que le permitan causar pérdida o
daño a un bien o a un grupo de bienes de la organización.
• Ejemplos de Riesgos en la Seguridad de la Información:
– Intrusión y uso no autorizado de recursos de los sistemas
– Denegación del servicio
– Pérdida de información
– Corrupción de datos
– Hurto de información
– Divulgación no autorizada
Gestión de Riesgos
Contramedidas
SalvaguardiasVulnerabilidad
Amenaza
Controles
Impacto
Activo
RRHH/Datos
Instalaciones
HW/SW
Modelo Pragmático de Riesgo
Riesgo = Amenaza * Vulnerabilidad * Impacto
•
SI
– Amenaza 0, o
– Vulnerabilidad 0, o
– Impacto 0
•
ENTONCES
– Riesgo CERO ?
Modelo de Riesgo de ICSA.NET
Modelo Pragmático de Riesgo
Riesgo = Amenaza * Vulnerabilidad * Impacto
•
SI
– Amenaza Alta, Media, Baja 3,2,1– Vulnerabilidad Alta, Media, Baja 3,2,1
– Impacto Alto, Medio, Bajo 3,2,1
•
ENTONCES
– Riesgo (3x3x3) ... (1x1x1) 27 ... 1
Modelo Pragmático de Riesgo
Riesgo = Amenaza * Vulnerabilidad * Impacto
La probabilidad de ocurrencia del impacto está dado por la
contemporaneidad entre una determinada amenaza y la
existencia de una vulnerabilidad explotable.
Riesgo = probabilidad * Impacto Mitigación del Riesgo y sus componentes
Agente de
la amenaza
Activa
Amenaza
Puede explotar
Interviene
directamente
Protección
Vulnerabilidad
Evidencia
RIESGO
Puede ser
contrarrestado
Activo
Exposición
Representa una
Puede Dañar
Activos
• La Información es un activo
vital de la empresa
Presente en
elementos
“comunes”
Activos
•
Corresponden a aquellos componentes de laorganización (tangibles e
intangibles) que son parte del patrimonio de la misma y necesitan ser
resguardados por presentar vulnerabilidades a algún tipo de amenaza.
•
Los activos se pueden categorizar en:
– Activos de información y datos
– Documentos en papel
– Activos de software
– Activos físicos (hardware, instalaciones, inventario de productos)
– Personal
– Imagen y reputación o plusvalía de lacompañía
– Servicios
Componentes del Riesgo
• Amenazas (Threat)
– Agente, interno o externo a la empresa, que genera peligros sobre
la confidencialidad, integridad y disponibilidad de los activos de
información
– Cualquier agente que presente un daño potencial a la información,
los sistemas o las instalaciones críticas.
Componentes del Riesgo
– Actos accidentales:
• Errores causados por personas
•Desastres naturales
• Fallas de los equipos
• Fallas de funcionamiento en las comunicaciones
– Actos deliberados
• Robo
• Sabotaje / Vandalismo
• Uso indebido de los recursos
Componentes del Riesgo
• Vulnerabilidades
– Debilidades o ausencia de controles que posibilitan la ocurrencia de
eventos no deseados y ponen en riesgo los activos de la empresa.
– Corresponde a una debilidad del software,hardware o
procedimiento que puede proveer a un posible atacante la “puerta
abierta” que él espera encontrar para ingresar a un computador o a
la red ganando acceso no autorizado a los recursos del entorno.
También se aplica al acceso no autorizado a las dependencias de la
empresa.
Componentes del Riesgo
• Vulnerabilidades
– Ejemplos:
• Sistemas de software sin últimos patchs de seguridad.
•Servicios (ports) innecesarios, abiertos en el perímetro Internet.
• Uso de passwords por omisión.
• Falta de vigilancia para control de acceso físico.
¿Qué podemos hacer ?
• Los riesgos no se eliminan, se gestionan
• Debe existir relación entre los activos a proteger y el costo
Seguridad
del control
$
Alto
$ Costo de
Seguridad
v/s Exposición
Bajo
-$
Nivel de Seguridad
Alto
Exposición...
Leer documento completo
Regístrate para leer el documento completo.