9 Análisis de Riesgos sobre la Información de SI.pdf

Click here to load reader

  • date post

    13-Apr-2018
  • Category

    Documents

  • view

    218
  • download

    0

Embed Size (px)

Transcript of 9 Análisis de Riesgos sobre la Información de SI.pdf

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    1/38

    Ing. Juan Carlos Molina Garca

    Especialista Arquitecto Empresarial

    Magster en Ingeniera de Sistemas y Computacin

    Anlisis de Riesgos sobre la

    Informacin de SI

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    2/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Por qu medir el riesgo?

    La medicin es el primer paso para el control y la mejora. Si

    algo no se puede medir, no se puede entender. Si no se

    entiende, no se puede controlar no se puede mejorar.

    H. James Harrinton

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    3/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    El riesgo es una funcin de la probabilidad que una amenazaacte sobre una vulnerabilidad, y el impacto resultante es el

    evento adverso (puede generar perdidas)

    Riesgo = F(Impacto, Probabilidad)

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    4/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Amenza

    Cualquier circustancia o evento con el potencial de impactar

    adversamente los activos de una organizacin

    Criminales

    Sucesos Fsicos Negligencia y malas decisiones

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    5/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Vulnerabilidad

    Debilidad de un sistema de informacin, procedimiento de

    seguridad, control interno o implementacin, que pueda ser

    explotada por un fuente de amenaza.

    NIST SP 800-39

    Ambientales/Fsicas

    Econmicas

    Socio-Educativa

    Institucional/ Poltica

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    6/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Ejemplo vulnerabilidad

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    7/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Impacto Estimacin de una consecuencia ocasionada por un nuevo

    evento

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    8/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Probabilidad Estimacin de la ocurrencia de una evento teniendo en cuenta la

    frecuencia de los hechos, histricos, la motivacin, capacidad y

    los recursos con que se cuentan los posibles atacantes, la

    percepcin de qu tan atractivo es el activo y susvulnerabilidades, entre otros.

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    9/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Gestin de Riesgos Aplicacin sistemtica de polticas de administracin,

    procedimientos y prcticas a las actividades de identificar,

    analizar, tratar y monitorear el riesgo.

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    10/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Beneficios Decisiones ms efectivas

    Asignacin de recursos ms eficiente

    Toma de decisiones transparente

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    11/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Proceso de Gestin de Riesgos

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    12/38

    Anlisis de Riesgos sobre la

    Informacin de SI Marcos de Referencia

    AZ/NZ 4360: estndar australiano y neozelands de administracin de riesgos.

    NTC 5254: norma colombiana de gestin de riesgos

    ISO 31000: administracin del riesgo

    ISO 27000: seguridad en sistemas de informacin

    NIST 800-30/800-39: manejo de riesgos en tecnologas de informacin y gestin deriesgos(USA)

    RISK IT: Framework que provee la vista de todos los riesgos relacionados con las TI(ISACA)

    MAGERIT: metodologa de anlisis y gestin de riesgos de los Sistemas de Informacin

    (Espaola)

    OCTAVE: herramientas, tcnicas y mtodos para la planeacin de estratgica de los

    riesgos( Carnegie Mellon University)

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    13/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    No interesa el mtodo, siempre debe: Identificar el activo de Informacin

    Identificar vulnerabilidades

    Identificar amenazas

    Valorar el impacto de la perdida de integridad, confidencialidad

    y disponibilidad del negocio

    Valorar la posibilidad realista que exista la falla

    Estimar el riesgo

    Definir la opcin de tratamiento(evitar, reducir, transferir,

    aceptar)

    Tomar las acciones definidas.

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    14/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Cual

    itativo Subjetivo

    Menor precisin

    No hay anlisis decosto beneficio

    Poco complejo Uso de observacin

    Fcil de comunicarCuant

    itativo Objetivo

    Mayor precisin

    Anlisis de costobeneficio

    Complejo Uso de frmulas

    matemticas

    Difcil de comunicarSemi cuantitativo

    Tipos de anlisis de riesgos

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    15/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Anlisis de riesgos cuantitativos Valor de activo(V)

    Costo de reposicin del activo, perdida de productividad, remplazo de

    datos, propiedad intelectual, demandas, multas, sanciones, etc. Valor del

    impacto. Factor de exposicin (FE)

    Es la proporcin del valor de un activo que tiene probabilidad de ser

    destruido por un riesgo en particular, expresada como porcentaje.

    Single-time Loss Expantancy-Expectativa de Prdida nica

    Cuando ocurre una amenaza, cul es la perdida monetaria del activo.

    Considere el valor del activo (V) por la exposicin de la ocurrencia de la

    amenaza, ser igual a SLE.

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    16/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Anlisis de riesgos cuantitativos Annualized Rate of Ocurrance (ARO)

    Cual es la probabilidad de la ocurrencia en una ao

    Annualized loss Exposure(ALE)

    Valor representado por el proceso clsico de anlisis de riesgoindicando la expectativa de prdida para cada amenaza dada

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    17/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Anlisis de riesgos cuantitativos

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    18/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Anlisis de riesgos cuantitativos Ejemplo

    El costo de un servidor es de 4000

    El factor de exposicin de servidor en caso de desastre es de 25%

    La probabilidad de la ocurrencia de la amenaza es de una vez en 10 aosObjetivo: Costo de proteccin en el perodo

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    19/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Anlisis de riesgos cualitativos La magnitud del impacto y la probabilidad se describen en

    forma detallada.

    Se emplea en los siguientes casos:

    Evaluacin inicial para identificar riesgos que se van a evaluar msadelante

    Cuando se consideran aspectos intangibles

    Cuando no se cuenta con informacin suficiente y adecuada.

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    20/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Anlisis de riesgos cualitativos

    Ejemplos

    Es muy probable que se genere un impacto negativoen la

    imagen de la organizacin a nivel nacional.

    La probabilidad de que la organizacin pierda credibilidad

    ante sus clientees casi nula

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    21/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Anlisis de riesgos semi cuantitativos Se asignan valores a las escalas empleadas en el anlisis

    cualitativo

    Los valores son representativos, no reales.

    Se busca establecer prioridades entre los niveles de riesgo

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    22/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Gestin de riesgos

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    23/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Gestin de riesgosPlanear

    Identificacin de activos

    Valoracin de activos

    Identificacin de amenzas yvulnerabilidades

    Valoracin de la probabilidad de losescenarios de riesgo

    Identificacin y valoracin decontroles

    Clculo de riesgos

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    24/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Planear Identificar activo de informacin

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    25/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Planear Valoracin de Impacto

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    26/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Planear Valoracin de Impacto

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    27/38

    Anlisis de Riesgos sobre la

    Informacin de SI

    Planear Amenzas y Vulnerabilidades

  • 7/26/2019 9 Anlisis de Riesgos sobre la Informacin de SI.pdf

    28/38

    Anlisis de Riesgos sobre la