Importancia del análisis de riesgo
Páginas: 82 (20428 palabras)
Publicado: 17 de noviembre de 2014
Importancia del Análisis de
Riesgo de Seguridad
Objetivos
Resaltar la necesidad de contar con seguridad informática en las instituciones para la protección y resguardo de sus activos.
Promover la realización de análisis de riesgo continuos como elemento para determinar requerimientos e incrementar el nivel de seguridad.
Contenido
Problemática
Definiciones
Seguridad informáticaAnálisis de riesgo
Objetivo, proceso, fases, beneficios,
limitaciones
Conclusiones
Problemática
Mayor interconexión de redes de comunicaciones, y sus sistemas de información.
Dependencia de las organizaciones a sus sistemas de información.
Compartir recursos e información dificulta el control de acceso.
Tendencia hacia el cómputo distribuido.
Sistemas que no han sido diseñados para ser seguros.Problemática
Las amenazas y ataques se han vuelto más comunes y de mayor complejidad.
Inexistencia o ineficiencia de los esquemas de seguridad informática.
Problemática
Falta de cultura informática
Creencia de Producto = Seguridad
Administración
(planeación, presupuesto)
Red (comunicación, admon de sistemas, soporte)
Hueco organizacional
Definiciones
Riesgo.
Es laposibilidad de sufrir algún daño o pérdida.
Activo.
Datos, infraestructura, hardware, software, personal y su experiencia, información, servicios.
Seguridad informática.
Determina qué necesita ser protegido y por qué, de qué necesita protegerse, y cómo protegerlo mientras exista.
Objetivo de la seguridad informática
Preservar los activos de una organización y Mantener su operación, basado en:• Confidencialidad
• Integridad
• Disponibilidad
• Autenticidad
• Privacidad
• No Repudio
• Control de Acceso
Fuentes para identificar requerimientos de seguridad
• De la valoración de riesgos en la organización.
• De requerimientos contractuales, normas reguladoras, y aspectos legales que se deben satisfacer.
• De un conjunto de principios, objetivos y requerimientos para elprocesamiento de la información que la organización ha desarrollado.
Análisis de Riesgo
• Proceso mediante el cual se identifican las amenazas y las vulnerabilidades en una organización, se valora su impacto y la probabilidad de que ocurran. [ISO/IEC 17799]
• Es un proceso para asegurar que los controles de seguridad de un sistema se
adapten según la proporción de sus riesgos.Objetivo del análisis deriesgo
• Tener la capacidad de:
– Identificar, evaluar y manejar los riesgos de seguridad.
– Estimar la exposición de un recurso a una amenaza determinada.
– Determinar cual combinación de medidas de seguridad proporcionará un nivel de seguridad razonable a un costo aceptable.
– Tomar mejores decisiones en seguridad informática.
– Enfocar recursos y esfuerzos en la protección de losactivos.
Proceso del análisis de riesgo
Fig.1 Avticidades de la evaluación de riesgos de seguridad [OCTAVE]
Fases del análisis de riesgo
Fig.2 Fases del análisis de riesgos de seguridad con OCTAVE
•Activos críticos
•Requerimientos de seguridad para
los activos críticos
•Amenazas a los activos críticos
•Prácticas de seguridad actuales
•Vulnerabilidades actuales de la
organización
Fase 1:Construir perfiles de amenazas
Basados en activos
•Riesgos de los activos críticos
•Medidas de riesgo
•Estrategias de protección
•Planes de mitigación de riesgos
Fase 3:
Desarrollar planes y estrategias
De seguridad
•Componentes clave
•Vulnerabilidades actuales de
la tecnología
Fase 2:
Identificar vulnerabilidades de
infraestructura
14/21
Elementos que debe cubrir
• Declaraciónde propósito y alcance
• Un análisis de los activos que son de valor
• Un análisis de amenazas cuya ocurrencia puede
producir pérdidas
• Un análisis de vulnerabilidades en los controles de
seguridad y en los sistemas
• Un análisis de los riesgos que mide posibles pérdidas
para la organización
• Un análisis de las medidas de seguridad que actuarían
como una protección
Beneficios
•...
Riesgo de Seguridad
Objetivos
Resaltar la necesidad de contar con seguridad informática en las instituciones para la protección y resguardo de sus activos.
Promover la realización de análisis de riesgo continuos como elemento para determinar requerimientos e incrementar el nivel de seguridad.
Contenido
Problemática
Definiciones
Seguridad informáticaAnálisis de riesgo
Objetivo, proceso, fases, beneficios,
limitaciones
Conclusiones
Problemática
Mayor interconexión de redes de comunicaciones, y sus sistemas de información.
Dependencia de las organizaciones a sus sistemas de información.
Compartir recursos e información dificulta el control de acceso.
Tendencia hacia el cómputo distribuido.
Sistemas que no han sido diseñados para ser seguros.Problemática
Las amenazas y ataques se han vuelto más comunes y de mayor complejidad.
Inexistencia o ineficiencia de los esquemas de seguridad informática.
Problemática
Falta de cultura informática
Creencia de Producto = Seguridad
Administración
(planeación, presupuesto)
Red (comunicación, admon de sistemas, soporte)
Hueco organizacional
Definiciones
Riesgo.
Es laposibilidad de sufrir algún daño o pérdida.
Activo.
Datos, infraestructura, hardware, software, personal y su experiencia, información, servicios.
Seguridad informática.
Determina qué necesita ser protegido y por qué, de qué necesita protegerse, y cómo protegerlo mientras exista.
Objetivo de la seguridad informática
Preservar los activos de una organización y Mantener su operación, basado en:• Confidencialidad
• Integridad
• Disponibilidad
• Autenticidad
• Privacidad
• No Repudio
• Control de Acceso
Fuentes para identificar requerimientos de seguridad
• De la valoración de riesgos en la organización.
• De requerimientos contractuales, normas reguladoras, y aspectos legales que se deben satisfacer.
• De un conjunto de principios, objetivos y requerimientos para elprocesamiento de la información que la organización ha desarrollado.
Análisis de Riesgo
• Proceso mediante el cual se identifican las amenazas y las vulnerabilidades en una organización, se valora su impacto y la probabilidad de que ocurran. [ISO/IEC 17799]
• Es un proceso para asegurar que los controles de seguridad de un sistema se
adapten según la proporción de sus riesgos.Objetivo del análisis deriesgo
• Tener la capacidad de:
– Identificar, evaluar y manejar los riesgos de seguridad.
– Estimar la exposición de un recurso a una amenaza determinada.
– Determinar cual combinación de medidas de seguridad proporcionará un nivel de seguridad razonable a un costo aceptable.
– Tomar mejores decisiones en seguridad informática.
– Enfocar recursos y esfuerzos en la protección de losactivos.
Proceso del análisis de riesgo
Fig.1 Avticidades de la evaluación de riesgos de seguridad [OCTAVE]
Fases del análisis de riesgo
Fig.2 Fases del análisis de riesgos de seguridad con OCTAVE
•Activos críticos
•Requerimientos de seguridad para
los activos críticos
•Amenazas a los activos críticos
•Prácticas de seguridad actuales
•Vulnerabilidades actuales de la
organización
Fase 1:Construir perfiles de amenazas
Basados en activos
•Riesgos de los activos críticos
•Medidas de riesgo
•Estrategias de protección
•Planes de mitigación de riesgos
Fase 3:
Desarrollar planes y estrategias
De seguridad
•Componentes clave
•Vulnerabilidades actuales de
la tecnología
Fase 2:
Identificar vulnerabilidades de
infraestructura
14/21
Elementos que debe cubrir
• Declaraciónde propósito y alcance
• Un análisis de los activos que son de valor
• Un análisis de amenazas cuya ocurrencia puede
producir pérdidas
• Un análisis de vulnerabilidades en los controles de
seguridad y en los sistemas
• Un análisis de los riesgos que mide posibles pérdidas
para la organización
• Un análisis de las medidas de seguridad que actuarían
como una protección
Beneficios
•...
Leer documento completo
Regístrate para leer el documento completo.