redhat

Administración de la Seguridad

SEI 4501
Seguridad Informática
Escuela de Informática y
Telecomunicaciones

Administración de Servicios de Red

1

Aprendizaje esperado
• Realizar actividad practica de ejercicios de calculo de
riesgo.

Administración de Servicios de Red

2

Resolución
• Pregunta 1:
– Activo 1: USD 20.000
– Activo 2: USD 50.000

– Activo 3: USD 5.000
–ARO = 20%

• ALE 1 = USD 20.000 * 20% = USD 4.000 por año

• ALE 2 = USD 50.000 * 20% = 10.000 por año
• ALE 3 = USD 5.000 * 20% = USD 1.000 por año
• ALE Total = ALE 1 + ALE 2 + ALE 3 = USD 15.000 por año
• ALE Total = ALE 1 + ALE 3 = USD 5.000 por año

• Ahorro = USD 10.000 por año.
Administración de Servicios de Red

3

Resolución
• Pregunta 2:
– ARO = 10%
– N = cantidad deempleados

– SLE = USD 30 * 2 * N

• Sin antivirus
– ALE = 60 * N *10% = 6 *N

• Con antivirus
– ALE’ = 60 * N *1% = 0,6 * N

• Tenemos que la diferencia es de USD 5.400 por año:
– ALE – ALE’ = USD 5.400 por año
– 6 * N – 0,6 * N = 5.400 = > N = 1.000 usuarios
Administración de Servicios de Red

4

Resolución
• ALE = 60 * N *10%
• ALE = USD 6.000 por año
• Costo máximo es =

•Costo máximo = USD 6 por usuario.

Administración de Servicios de Red

5

Resolución
• Pregunta 3:
• Antes:
– SLE = USD 10.000 * H

– H : cantidad de horas
– ARO = 30%
– ALE = USD 10.000 * H * 30% = 3.000 * H

• Después:
– SLE = USD 15.000 * H * 50%
– ALE = USD 15.000 * H * 50% * 30% = 2.250 * H

• Ahorro = 3.000 * H – 2.250 * H = 3000
• H = 4 horas
Administración de Serviciosde Red

6

Resolución
• ARO = 20%
• SLE = USD 10.000 * 5 (antes)
• SLE = USD 50.000
• SLE’ = 15.000 *5 *50% (después)
• SLE’ = USD 37.500

• Valor = ALE – ALE’ = (50.000 – 37.500) * 20%
• Valor = USD 2.500 por año

Administración de Servicios de Red

7

Aprendizaje Esperado
• Utilizar la “Matriz de Riesgo” como herramienta de
Análisis de Riesgo.
• Confección de una Matrizde Riesgo y análisis de su
resultado.

Administración de Servicios de Red

8

Plan de tratamiento de Riesgos
• Se utiliza el Ciclo de Gestión de Riesgo
• Identificación
• Proceso de Identificación de Riesgos

• Análisis
• Revisamos Implicancias, para esto usaremos la “matriz
de riesgo”
• Planificación
• Definición de acciones, en función de lo que nos
entrega la matriz de riesgos• Monitoreo y Control

• Medición si las medidas fueron adecuadas.

Administración de Servicios de Red

9

Matriz de Riesgo

Administración de Servicios de Red

10

Formula de Calculo de Riesgo
• RIESGO = Amenaza * Vulnerabilidad * Impacto

• Simplificación:
– Riesgo Cuántico (que se puede medir)
– RIESGO = Probabilidad * Impacto

Administración de Servicios de Red

11Ejemplo de Matriz de Riesgo
Riesgo

P

I

P*I

Riesgo 1

1

3

3

Riesgo 2

3

2

6

Riesgo 3

2

2

4

Riesgo 4

3

3

9

Riesgo 5

1

1

1

Riesgo 6

3

2

6

Riesgo 7

1

1

1

Riesgo 8

2

2

4

Riesgo 9

2

3

6

Riesgo 10

1

2

2

Riesgo 11

3

3

9

Riesgo 12

1

2

2

Riesgo 13

11

1

Riesgo 14

2

3

6

Riesgo 15

3

2

6

Riesgo 16

3

1

3

Riesgo 17

2

1

2

Riesgo 18

1

1

1

Riesgo 19

1

2

2

Riesgo 20

1

1

1

Administración de Servicios de Red

Probabilidad
1: Baja
2: Media
3: Alta
Impacto
1: Bajo
2: Medio
3: Alto
Riesgo:
9: Rojo
4 – 6: amarillo
3 o menos: verde

12

Ejemplo deMatriz de Riesgo
Probabilidad

3

16

2, 6 y 15

4 y 11

2

17

3y8

9 y 14

1

5, 7, 13, 18 y 20

10, 12 y 19

1

1

2

3

Impacto

Resultado:
Rojo: Requiere acción inmediata
Amarillo : Acción preventiva
Verde: Solo monitoreo
Administración de Servicios de Red

13

Factor de Riesgo
• Nos indica el valor general de riesgo de todos los
activos...