Indicador de vulnerabilidad
Páginas: 22 (5266 palabras)
Publicado: 3 de mayo de 2011
(
Indicadores de Gestión, para el proceso de Administración de Vulnerabilidades
Giraldo Vidal, Juan Carlos
Juanc_giraldo@coomeva.com.co
Coomeva
Resumen—En el presente trabajo se plantea la definición de un indicador de vulnerabilidad que permita facilitar la medición de la eficiencia de las labores realizadas por el área de seguridad informática de una organización. Una adecuadadefinición de indicadores de gestión permitirá al área de riesgo tecnológico dar un soporte numérico a sus requerimientos frente a la gerencia e igualmente facilitaría la medición de logros del área. La definición de indicadores planteada incluye el proceso de análisis de riesgos, con el cual se obtiene un inventario y calificación del riesgo de los recursos informáticos críticos, sobre estos recursos serealizan las actividades de análisis de vulnerabilidades. De acuerdo al tipo de vulnerabilidades encontradas y a la clasificación del activo se asignan puntajes, los cuales son la base para la definición del indicador.
Índice de Términos—Vulnerabilidades, Riesgo, Indicadores de Gestion, Seguridad Informatica
INTRODUCCIÓN
Para el área de riesgo tecnológico de una organización es muyimportante la generación de indicadores que presente un valor aproximado de la esta de vulnerabilidad de la organización, esto con el fin de tener valores que permitan justificar ante la gerencia las inversiones requeridas. Igualmente un este valor numérico facilitara la medición de la gestión realizada por el área y su impacto frente al riesgo de la organización. Si bien el proceso de análisis devulnerabilidades entrega un reporte de las vulnerabilidades detectadas y su impacto , es necesario igualmente la asignación de un valor numérico que permita diferenciar la criticidad del recurso informático evaluado, para poder calificar este valor se incluyo el proceso de análisis de riesgo.
Análisis de riesgos
Para el análisis de riesgos se toma como base la metodología de análisis deriesgos Maguerit, con la cual se obtiene la siguiente información de los recursos informáticos críticos. De acuerdo al riesgo Acumulado para cada activo de hardware y software de la organización se identifica un listado de recursos informáticos críticos para la organización, los cuales representan los recursos que soportan los procesos más importantes para la organización.
Se trabaja específicamentesobre una valoración cualitativa y sobre dos clases de activos, Equipos y Aplicaciones. Y se define la siguiente clasificación para la valoración del activo:
Para el presente artículo se trabajara sobre un universo de 10 recursos informáticos distribuidos en 5 servidores, 3 aplicaciones y dos dispositivos de red.
Activos:
1. Servidor de Dominio (Windows Server 2008)
2. Servidor deAplicaciones (Linux Red Hat 7.0)
3. Servidor de bases de datos (AIX)
4. Servidor de Portal (Linux Red Hat 7.0)
5. Servidor Aplicaciones Contables. AS400
6. Aplicación oficina Virtual PHP
7. Aplicación WEB proveedores PHP
8. Servidor de correos PHP
9. Switches de Core
10. Firewall Externo.
Valoración de Activos:
En la tabla 1 se definen los criterios de asignación devalor para los activos definidos, esta calificación se realiza de manera cualitativa de acuerdo a las implicaciones que pueda llegar a tener la afectación del recurso identificado.
Tabla I Valoración de activos
|NIVEL |CRITERIO |
|10 |EL VALOR MÁS ALTO, EL DAÑO MÁS ALTO |
|7 |EL VALOR MÁSGRANDE / EL DAÑO MÁS GRAVE QUE SUELE DARSE EN |
| |SERVICIOS CIVILES O DE LA ADMINISTRACIÓN PÚBLICA |
|5 |CUANDO LAS CONSECUENCIAS NO AFECTAN A OTRAS ORGANIZACIONES |
| |EXTERNAS |
|3 |CONSECUENCIAS LIMITADAS, DE CARÁCTER INTERNO |
|0 |INSIGNIFICANTE -...
Indicadores de Gestión, para el proceso de Administración de Vulnerabilidades
Giraldo Vidal, Juan Carlos
Juanc_giraldo@coomeva.com.co
Coomeva
Resumen—En el presente trabajo se plantea la definición de un indicador de vulnerabilidad que permita facilitar la medición de la eficiencia de las labores realizadas por el área de seguridad informática de una organización. Una adecuadadefinición de indicadores de gestión permitirá al área de riesgo tecnológico dar un soporte numérico a sus requerimientos frente a la gerencia e igualmente facilitaría la medición de logros del área. La definición de indicadores planteada incluye el proceso de análisis de riesgos, con el cual se obtiene un inventario y calificación del riesgo de los recursos informáticos críticos, sobre estos recursos serealizan las actividades de análisis de vulnerabilidades. De acuerdo al tipo de vulnerabilidades encontradas y a la clasificación del activo se asignan puntajes, los cuales son la base para la definición del indicador.
Índice de Términos—Vulnerabilidades, Riesgo, Indicadores de Gestion, Seguridad Informatica
INTRODUCCIÓN
Para el área de riesgo tecnológico de una organización es muyimportante la generación de indicadores que presente un valor aproximado de la esta de vulnerabilidad de la organización, esto con el fin de tener valores que permitan justificar ante la gerencia las inversiones requeridas. Igualmente un este valor numérico facilitara la medición de la gestión realizada por el área y su impacto frente al riesgo de la organización. Si bien el proceso de análisis devulnerabilidades entrega un reporte de las vulnerabilidades detectadas y su impacto , es necesario igualmente la asignación de un valor numérico que permita diferenciar la criticidad del recurso informático evaluado, para poder calificar este valor se incluyo el proceso de análisis de riesgo.
Análisis de riesgos
Para el análisis de riesgos se toma como base la metodología de análisis deriesgos Maguerit, con la cual se obtiene la siguiente información de los recursos informáticos críticos. De acuerdo al riesgo Acumulado para cada activo de hardware y software de la organización se identifica un listado de recursos informáticos críticos para la organización, los cuales representan los recursos que soportan los procesos más importantes para la organización.
Se trabaja específicamentesobre una valoración cualitativa y sobre dos clases de activos, Equipos y Aplicaciones. Y se define la siguiente clasificación para la valoración del activo:
Para el presente artículo se trabajara sobre un universo de 10 recursos informáticos distribuidos en 5 servidores, 3 aplicaciones y dos dispositivos de red.
Activos:
1. Servidor de Dominio (Windows Server 2008)
2. Servidor deAplicaciones (Linux Red Hat 7.0)
3. Servidor de bases de datos (AIX)
4. Servidor de Portal (Linux Red Hat 7.0)
5. Servidor Aplicaciones Contables. AS400
6. Aplicación oficina Virtual PHP
7. Aplicación WEB proveedores PHP
8. Servidor de correos PHP
9. Switches de Core
10. Firewall Externo.
Valoración de Activos:
En la tabla 1 se definen los criterios de asignación devalor para los activos definidos, esta calificación se realiza de manera cualitativa de acuerdo a las implicaciones que pueda llegar a tener la afectación del recurso identificado.
Tabla I Valoración de activos
|NIVEL |CRITERIO |
|10 |EL VALOR MÁS ALTO, EL DAÑO MÁS ALTO |
|7 |EL VALOR MÁSGRANDE / EL DAÑO MÁS GRAVE QUE SUELE DARSE EN |
| |SERVICIOS CIVILES O DE LA ADMINISTRACIÓN PÚBLICA |
|5 |CUANDO LAS CONSECUENCIAS NO AFECTAN A OTRAS ORGANIZACIONES |
| |EXTERNAS |
|3 |CONSECUENCIAS LIMITADAS, DE CARÁCTER INTERNO |
|0 |INSIGNIFICANTE -...
Leer documento completo
Regístrate para leer el documento completo.