Analista
Páginas: 5 (1014 palabras)
Publicado: 25 de junio de 2013
23/04/2013
Introduction to Risk
Assessment
Agenda
• Riesgos de Seguridad de la Información
• Gestión de Riesgos
• Modelo Pragmático de Riesgo
• Mitigación de Riesgos y sus componentes
• Activos
• Componentes de Riesgos
• Identificación de Riesgos
1
23/04/2013
Riesgos de Seguridad de la Información
Riesgo en Seguridad de la Información:
Un riesgo de seguridad es elpotencial que tiene una amenaza para
explotar vulnerabilidades que le permitan causar pérdida o daño a un
bien o a un grupo de bienes de la organización.
Riesgos de Seguridad de la Información
Ejemplos de Riesgos en la Seguridad de la Información:
Intrusión y uso no autorizado de recursos de los sistemas
Denegación del servicio
Pérdida de información
Corrupción de datos
Hurto deinformación
Divulgación no autorizada
2
23/04/2013
Gestión de Riesgos
Contramedidas
Salvaguardias
Impacto
Vulnerabilidad
Controles
Modelo Pragmático de Riesgo
Riesgo = Amenaza * Vulnerabilidad * Impacto
SI
Amenaza 0, o
Vulnerabilidad 0, o
Impacto 0
ENTONCES
Riesgo CERO ?
3
23/04/2013
Modelo Pragmático de Riesgo
Riesgo = Amenaza *Vulnerabilidad * Impacto
SI
Amenaza Alta, Media, Baja 3,2,1
Vulnerabilidad Alta, Media, Baja 3,2,1
Impacto Alto, Medio, Bajo 3,2,1
ENTONCES
Riesgo (3x3x3) ... (1x1x1) 27 ... 1
Modelo Pragmático de Riesgo
Riesgo = Amenaza * Vulnerabilidad * Impacto
La probabilidad de ocurrencia del impacto está dado por la
contemporaneidad entre una determinada amenaza y laexistencia de una vulnerabilidad explotable.
Riesgo = probabilidad * Impacto
4
23/04/2013
Mitigación del Riesgo y sus componentes
Agente de
Amenaza
Activa
Amenaza
Puede explotar
Interviene
directamente
Vulnerabilidad
Evidencia
RIESGO
Protección
Puede ser
contrarrestado
Activo
Exposición
Puede Dañar
Representa una
Activos
La Información es un activo vital de
la empresa
Presente en
elementos
“comunes”
5
23/04/2013
Activos
Corresponden a aquellos componentes de la organización
(tangibles e intangibles) que son parte del patrimonio de la
misma
y
necesitan
ser
resguardados
por
presentar
vulnerabilidades a algún tipo de amenaza.
Activos
Los activos se pueden categorizar en:
Activos deinformación y datos
Documentos en papel
Activos de software
Activos físicos (hardware, instalaciones, inventario de productos)
Personal
Imagen y reputación o plusvalía de la compañía
Servicios
6
23/04/2013
Componentes del Riesgo
Amenazas (Threat)
Agente, interno o externo a la empresa, que genera peligros
sobre la confidencialidad, integridad y disponibilidad delos
activos de información
Cualquier agente que presente un daño potencial a la
información, los sistemas o las instalaciones críticas.
Componentes del Riesgo
Actos accidentales:
• Errores causados por personas
• Desastres naturales
• Fallas de los equipos
• Fallas de funcionamiento en las comunicaciones
Actos deliberados
• Robo
• Sabotaje / Vandalismo
•Uso indebido de los recursos
7
23/04/2013
Componentes del Riesgo
Vulnerabilidades
Debilidades o ausencia de controles que posibilitan la ocurrencia de
eventos no deseados y ponen en riesgo los activos de la empresa.
Corresponde a una debilidad del software, hardware o procedimiento
que puede proveer a un posible atacante la “puerta abierta” que él
espera encontrar para ingresar a un computadoro a la red ganando
acceso no autorizado a los recursos del entorno. También se aplica al
acceso no autorizado a las dependencias de la empresa.
Componentes del Riesgo
Vulnerabilidades
Ejemplos:
• Sistemas de software sin últimos patchs de seguridad.
• Servicios (ports) innecesarios, abiertos en el perímetro Internet.
• Uso de passwords por omisión.
• Falta de vigilancia para...
Introduction to Risk
Assessment
Agenda
• Riesgos de Seguridad de la Información
• Gestión de Riesgos
• Modelo Pragmático de Riesgo
• Mitigación de Riesgos y sus componentes
• Activos
• Componentes de Riesgos
• Identificación de Riesgos
1
23/04/2013
Riesgos de Seguridad de la Información
Riesgo en Seguridad de la Información:
Un riesgo de seguridad es elpotencial que tiene una amenaza para
explotar vulnerabilidades que le permitan causar pérdida o daño a un
bien o a un grupo de bienes de la organización.
Riesgos de Seguridad de la Información
Ejemplos de Riesgos en la Seguridad de la Información:
Intrusión y uso no autorizado de recursos de los sistemas
Denegación del servicio
Pérdida de información
Corrupción de datos
Hurto deinformación
Divulgación no autorizada
2
23/04/2013
Gestión de Riesgos
Contramedidas
Salvaguardias
Impacto
Vulnerabilidad
Controles
Modelo Pragmático de Riesgo
Riesgo = Amenaza * Vulnerabilidad * Impacto
SI
Amenaza 0, o
Vulnerabilidad 0, o
Impacto 0
ENTONCES
Riesgo CERO ?
3
23/04/2013
Modelo Pragmático de Riesgo
Riesgo = Amenaza *Vulnerabilidad * Impacto
SI
Amenaza Alta, Media, Baja 3,2,1
Vulnerabilidad Alta, Media, Baja 3,2,1
Impacto Alto, Medio, Bajo 3,2,1
ENTONCES
Riesgo (3x3x3) ... (1x1x1) 27 ... 1
Modelo Pragmático de Riesgo
Riesgo = Amenaza * Vulnerabilidad * Impacto
La probabilidad de ocurrencia del impacto está dado por la
contemporaneidad entre una determinada amenaza y laexistencia de una vulnerabilidad explotable.
Riesgo = probabilidad * Impacto
4
23/04/2013
Mitigación del Riesgo y sus componentes
Agente de
Amenaza
Activa
Amenaza
Puede explotar
Interviene
directamente
Vulnerabilidad
Evidencia
RIESGO
Protección
Puede ser
contrarrestado
Activo
Exposición
Puede Dañar
Representa una
Activos
La Información es un activo vital de
la empresa
Presente en
elementos
“comunes”
5
23/04/2013
Activos
Corresponden a aquellos componentes de la organización
(tangibles e intangibles) que son parte del patrimonio de la
misma
y
necesitan
ser
resguardados
por
presentar
vulnerabilidades a algún tipo de amenaza.
Activos
Los activos se pueden categorizar en:
Activos deinformación y datos
Documentos en papel
Activos de software
Activos físicos (hardware, instalaciones, inventario de productos)
Personal
Imagen y reputación o plusvalía de la compañía
Servicios
6
23/04/2013
Componentes del Riesgo
Amenazas (Threat)
Agente, interno o externo a la empresa, que genera peligros
sobre la confidencialidad, integridad y disponibilidad delos
activos de información
Cualquier agente que presente un daño potencial a la
información, los sistemas o las instalaciones críticas.
Componentes del Riesgo
Actos accidentales:
• Errores causados por personas
• Desastres naturales
• Fallas de los equipos
• Fallas de funcionamiento en las comunicaciones
Actos deliberados
• Robo
• Sabotaje / Vandalismo
•Uso indebido de los recursos
7
23/04/2013
Componentes del Riesgo
Vulnerabilidades
Debilidades o ausencia de controles que posibilitan la ocurrencia de
eventos no deseados y ponen en riesgo los activos de la empresa.
Corresponde a una debilidad del software, hardware o procedimiento
que puede proveer a un posible atacante la “puerta abierta” que él
espera encontrar para ingresar a un computadoro a la red ganando
acceso no autorizado a los recursos del entorno. También se aplica al
acceso no autorizado a las dependencias de la empresa.
Componentes del Riesgo
Vulnerabilidades
Ejemplos:
• Sistemas de software sin últimos patchs de seguridad.
• Servicios (ports) innecesarios, abiertos en el perímetro Internet.
• Uso de passwords por omisión.
• Falta de vigilancia para...
Leer documento completo
Regístrate para leer el documento completo.