Introduzcción a La Gestión De Riesgo
Páginas: 9 (2153 palabras)
Publicado: 19 de abril de 2012
Conceptos básicos
Introducción a la Gestión de Riesgos
Análisis de riesgos: proceso (sistemático) para estimar los riesgos (la magnitud de ellos) a los que se expone una organización.
Gestión de riesgos: implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos.
Si no atacas a los riesgos ellos te atacarán activamente a ti.
Pilares del riesgo
• Elfuturo: riesgos que podrían hacer fracasar.
• El cambio: cómo afectan los cambios en los requisitos, tecnologías, entidades relacionadas,…
• Las elecciones: métodos y herramientas a emplear, gente implicada, importancia de la calidad.
Definición de Riesgo
Probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informático causando un impacto en la Organización.
R = P *I
Definición de Amenaza
Evento accidental o intencionado que pueda ocasionar algún daño en el sistema informático, provocando pérdidas o perjuicios.
Clasificación 1:
• Naturales: inundación, incendio, tormenta, explosión, etc.
• De agentes externos: virus informáticos, ataques organización criminal, sabotajes terroristas, disturbios y conflictos sociales, etc.
• De agentes internos:empleados descuidados o descontentos, errores al utilizar las herramientas, etc.
Clasificación 2:
• Accidentes: averías de hardware, fallos de software, inundaciones, incendio, etc.
• Errores: de utilización, de explotación, de ejecución de procedimientos, etc.
• Actuaciones malintencionadas: robos, fraudes, sabotajes, intrusión, etc.
Vulnerabilidades
1. Confidencialidad: información disponiblesolo para usuarios autorizados.
2. Integridad: garantía de no poder modificar la información.
3. Autenticidad: legitimidad del origen de la información.
4. No repudio: imposibilidad de negación del envío y/o recepción por parte del emisor y/o receptor de la información.
5. Anonimato: secreto de identidad del emisor de un mensaje.
6. Accesibilidad: acceso eficiente solo para entidadesautorizadas.
Definición de Impacto
Medición y valoración del daño que podría producir a la organización un incidente de seguridad.
Clasificación:
• Alto: perdida o inhabilitación de recursos críticos. Interrupción de los procesos de negocio. Daños en la imagen y reputación. Robo o revelación de información protegida estratégica.
• Moderado: pérdida o inhabilitación de recursos críticos pero conrespaldo. Caída notable en el rendimiento de los procesos de negocio. Robo o revelación de información confidencial no estratégica.
• Bajo: pérdida o inhabilitación de recursos secundarios. Disminución del rendimiento de los procesos de negocio. Robo o revelación de información interna no publicada.
Definición de Riesgo
Posibilidad de que se produzca un impacto determinado en un activo, en undominio o en toda la organización.
Efecto o condición que si ocurre, tiene un efecto positivo o negativo sobre los objetivos de un proyecto.
Posibilidad de que una amenaza impacte las vulnerabilidad de un activo o grupo de activos, causando daño (ISO/IEC).
El impacto mide lo que puede pasar mientras que el riesgo mide lo que probablemente pase.
ISO/IEC 27000
Estándar desde 2005. Certificaciónde SGSI que deben obtener las organizaciones. Contiene las mejores prácticas para desarrollar, implementar y mantener especificaciones para los SGSI.
Activos:
• Información
• Procesos
• Aplicaciones
• Servicios
• Sistemas operativos
• Hardware
• Comunicaciones
• Soportes de información
• Instalaciones
• Personal
Introducción a la gestión de riesgos
La primera generación de la Gestiónde Riesgos
• Años 40: Teoría de la Fiabilidad: “la probabilidad de éxito de una cadena de componentes es el producto de las probabilidades de éxito de sus elementos” (Ley de Lusser.
• Años 60: análisis de riesgos cuantitativo y análisis de riesgo cualitativo (árboles de fallos).
• Años 70: Modelo de Rasmussen con 6 etapas.
En las investigaciones de accidentes en los 70 señala como una causa...
Introducción a la Gestión de Riesgos
Análisis de riesgos: proceso (sistemático) para estimar los riesgos (la magnitud de ellos) a los que se expone una organización.
Gestión de riesgos: implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos.
Si no atacas a los riesgos ellos te atacarán activamente a ti.
Pilares del riesgo
• Elfuturo: riesgos que podrían hacer fracasar.
• El cambio: cómo afectan los cambios en los requisitos, tecnologías, entidades relacionadas,…
• Las elecciones: métodos y herramientas a emplear, gente implicada, importancia de la calidad.
Definición de Riesgo
Probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informático causando un impacto en la Organización.
R = P *I
Definición de Amenaza
Evento accidental o intencionado que pueda ocasionar algún daño en el sistema informático, provocando pérdidas o perjuicios.
Clasificación 1:
• Naturales: inundación, incendio, tormenta, explosión, etc.
• De agentes externos: virus informáticos, ataques organización criminal, sabotajes terroristas, disturbios y conflictos sociales, etc.
• De agentes internos:empleados descuidados o descontentos, errores al utilizar las herramientas, etc.
Clasificación 2:
• Accidentes: averías de hardware, fallos de software, inundaciones, incendio, etc.
• Errores: de utilización, de explotación, de ejecución de procedimientos, etc.
• Actuaciones malintencionadas: robos, fraudes, sabotajes, intrusión, etc.
Vulnerabilidades
1. Confidencialidad: información disponiblesolo para usuarios autorizados.
2. Integridad: garantía de no poder modificar la información.
3. Autenticidad: legitimidad del origen de la información.
4. No repudio: imposibilidad de negación del envío y/o recepción por parte del emisor y/o receptor de la información.
5. Anonimato: secreto de identidad del emisor de un mensaje.
6. Accesibilidad: acceso eficiente solo para entidadesautorizadas.
Definición de Impacto
Medición y valoración del daño que podría producir a la organización un incidente de seguridad.
Clasificación:
• Alto: perdida o inhabilitación de recursos críticos. Interrupción de los procesos de negocio. Daños en la imagen y reputación. Robo o revelación de información protegida estratégica.
• Moderado: pérdida o inhabilitación de recursos críticos pero conrespaldo. Caída notable en el rendimiento de los procesos de negocio. Robo o revelación de información confidencial no estratégica.
• Bajo: pérdida o inhabilitación de recursos secundarios. Disminución del rendimiento de los procesos de negocio. Robo o revelación de información interna no publicada.
Definición de Riesgo
Posibilidad de que se produzca un impacto determinado en un activo, en undominio o en toda la organización.
Efecto o condición que si ocurre, tiene un efecto positivo o negativo sobre los objetivos de un proyecto.
Posibilidad de que una amenaza impacte las vulnerabilidad de un activo o grupo de activos, causando daño (ISO/IEC).
El impacto mide lo que puede pasar mientras que el riesgo mide lo que probablemente pase.
ISO/IEC 27000
Estándar desde 2005. Certificaciónde SGSI que deben obtener las organizaciones. Contiene las mejores prácticas para desarrollar, implementar y mantener especificaciones para los SGSI.
Activos:
• Información
• Procesos
• Aplicaciones
• Servicios
• Sistemas operativos
• Hardware
• Comunicaciones
• Soportes de información
• Instalaciones
• Personal
Introducción a la gestión de riesgos
La primera generación de la Gestiónde Riesgos
• Años 40: Teoría de la Fiabilidad: “la probabilidad de éxito de una cadena de componentes es el producto de las probabilidades de éxito de sus elementos” (Ley de Lusser.
• Años 60: análisis de riesgos cuantitativo y análisis de riesgo cualitativo (árboles de fallos).
• Años 70: Modelo de Rasmussen con 6 etapas.
En las investigaciones de accidentes en los 70 señala como una causa...
Leer documento completo
Regístrate para leer el documento completo.