Análisis de Riesgos y Amenazas

8/4/2019 Anlisis de Riesgos y Amenazas

1/38

El significado de la vida no es la seguridad, lasgrandes oportunidades estn en los riesgos.Shirley Hufstedler

Secretaria de Educacin de Estados Unidos

@ivanwalkesmc

Por:

Ivn Walkes


2/38


3/38

- Riesgos en una Empresa segn su tipo

- Amenazas en una Empresa segn su tipo

- Ejemplos de riesgos

- Ejemplos de amenazas

- Diferencias entre Riesgo y Amenaza

Toda amenaza pierde mucho de su peligrocuando se han descubierto sus causas.Konrad Lorenz

uno de los padres de la etologa


4/38

Activos: Recurso del sistema de informacin o

relacionado con ste, necesario para que la

organizacin funcione correctamente y alcance

los objetivos propuestos.

Vulnerabilidad: Definida como la potencialidad o

posibilidad de ocurrencia de materializacin deuna amenaza sobre un activo. Es una propiedad

de la relacin entre un Activo y una Amenaza.


5/38

Amenaza: Las amenazas son agentes capaces deexplotar los fallos de seguridad que denominamospuntos dbiles y, como consecuencia de ello, causarprdidas o daos a los activos de una empresa,

afectando sus negocios.

Riesgo: El riesgo es la probabilidad de que lasamenazas exploten los puntos dbiles, causando

prdidas o daos a los activos e impactos al negocio, esdecir, afectando: La confidencialidad, la integridad y ladisponibilidad de la informacin.


6/38

Impacto: Medir las consecuencias de una amenaza.

Mecanismo de Salvaguarda: Procedimientos o dispositivos,

fsicos o lgicos,", que reducen el riesgo.

Ataque: Evento, exitoso o no, que atenta sobre el buen

funcionamiento del sistema.

Desastre o Contingencia: Interrupcin de la capacidad de

acceso a informacin y procesamiento de la misma a travs de

computadoras necesarias para la operacin normal de

cualquier sistema.


7/38

Existen dos tipos de riesgos que pueden presentarse enuna empresa, los cuales son: riesgos menores

riesgos mayores.

Los riesgos menores podemos definirlos, comoaquellos que no son susceptibles de afectarsignificativamente las operaciones de la organizacin,las consecuencias que realicen pueden ser financiadaspor esta misma; los riesgos mayores, son aquellos que

pudiendo materializarse con una probabilidadconsiderable, pueden traducirse en la paralizacin de laempresa o en una grave crisis financiera.


8/38

Riesgos Mayor Beneficio Personal

Sndrome de Robin Hood (El empleado se siente explotado y poco a poco va robando informacin valiosa para la empresa y regalndosela a los

competidores menores que tiene la misma).

Odio a la Organizacin Equivocacin de ego

Deshonestidad del departamento

El empleado tiene una mentalidad turbada

Problemas financieros de algn individuo

Fcil modo de desfalco (El empleado roba o se apropia de los activos de gran valor sin que nadie se d cuenta en la organizacin).

Riesgos Menores

Incendios en la empresa.

Beneficio de la organizacin.


9/38

Los activos estn constantemente sometidos a

amenazas que pueden colocar en riesgo laintegridad, confidencialidad y disponibilidad

de la informacin. Estas amenazas siempre

existirn y estn relacionadas a causas que

representan riesgos.


10/38

Las mismas se podrn dividir en tres grandes grupos:

Amenazas naturales

Condiciones de la naturaleza y la intemperie que podrn causar daos a los activos,

tales como fuego, inundacin, terremotos.

Intencionales Son amenazas deliberadas, fraudes, vandalismo, sabotajes, espionaje,

invasiones y ataques, robos y hurtos de informacin, entre otras.

Involuntarias

Son amenazas resultantes de acciones inconscientes de usuarios, por virus

electrnicos, muchas veces causadas por la falta de conocimiento en el uso delos activos, tales como errores y accidentes.

Entre las principales amenazas, la ocurrencia de virus, la divulgacin de

contraseas y la accin de hackers estn entre las ms frecuentes.


11/38

Acceso no autorizado

Cuando los desarrolladores de Software acceden sinautorizacin al sistema.

Perdida de Manuales

En una empresa que se necesite la actualizacin de unsistema. Personal mediocre

Cuando en el equipo de desarrollo se encuentra unapersona que desconoce los mtodos de desarrollo desoftware.

Diseo inadecuado

En el proceso de desarrollo los diseadores no escatimanel tiempo necesario para la creacin del diseo por larapidez de complementar la planeacin.


12/38

La diferencia que hay entre amenaza y riesgo

es la siguiente:

La amenaza es aquello que puede ocurrir, siempre

est presente y que tiene como fin ocasionar

algn tipo de dao.

El riesgo es la medida de la posibilidad de que

pueda ocurrir algo problemtico, como porejemplo, que una amenaza suceda.


13/38

-Concepto

-Importancia

-Beneficios

-Frmula Clculo de Riesgos

Siempre me ro de la gente que dice que nunca hanconocido a un analista rico. Me encanta, es unaafirmacin tan arrogante y carente de sentido. Youtilic el anlisis durante 9 aos y me hice rico.Marty Schwartz

hizo su fortuna en el comercio de acciones, por anlisis tcnico.


14/38

El anlisis de riesgo es una metodologa que se encargade estudiar, evaluar, medir y prevenir las posibilidadesde que haya una causa para las posibles amenazas oeventos no deseados que pueden ocurrir en un

entorno de informtica y de informacin o, paraabarcarlo todo, en una organizacin empresarial en lacual se manipule informacin tanto por mediosinformticos como por medios no informticos. Y semenciona todo ya que todo lo que est relacionado

con la manipulacin de algn tipo de informacin enuna organizacin est expuesto a tener riesgos,amenazas y daos.


15/38

Identificar, medir y prevenir los riesgos que representa una

instalacin industrial para los bienes de la empresa.

Deducir los posibles accidentes graves que pudieran producirse.

Determinar las consecuencias en el espacio y el tiempo de los

accidentes, aplicando determinados criterios de vulnerabilidad.

Analizar las causas de dichos accidentes y proponer soluciones.

Discernir sobre la aceptabilidad o no de las propias instalaciones

y operaciones realizadas en la empresa.

Definir medidas y procedimientos de prevencin y proteccin

para evitar la ocurrencia y/o limitar las consecuencias de los

accidentes.


16/38

Pues es importante el tener suposiciones de lo quepueda ocurrir con aquello que est relacionado con lainformacin, en algunas ocasiones dichas suposicionesse pueden volver realidad.

Hay un refrn muy bueno para estos casos que dice: Es mejor prevenir antes que lamentar.

Qu se trata de prevenir? Se trata de prevenir lasamenazas.

Por medio de qu se previenen las amenazas? Con el

anlisis de riesgo. Qu puede ser lamentable? Los daos que ha causado

una suposicin que se ha vuelto real.


17/38

Frmula:

RT (Riesgo Total) = Probabilidad x Impacto Promedio.


18/38

Identifica, analiza y documenta de manera participativa las posibles

amenazas naturales y socio naturales (inundaciones, incendios forestales,

deslizamientos y otras), articulando el conocimiento tcnico-cientfico

Especifica caractersticas de las amenazas en cuanto a duracin,

intensidad y probabilidad de ocurrencia y pone un valor numrico a la

amenaza.

Hace el estudio sobre la capacidad de sistema o de un elemento expuesto

(donde la persona es el centro de atencin) para hacer enfrentar, eludir o

neutralizar los efectos de determinados eventos naturales o generados

por los humanos.

Cuantificar la vulnerabilidad y darle un valor para lo cual se obtiene un

promedio de los valores de exposicin, fragilidad y resiliencia (capacidad

que se posee para ser frente a las adversidades).

Es una herramienta que permite disear y evaluar alternativas de accin

con la finalidad de mejorar la toma de decisiones para priorizar las

inversiones en el nivel local y nacional.


19/38

Ahora que estoy viejo se que las etapas eran los pasosque me permitan llegar aqu, mejor que no me salteninguno.Annimo

- Explicacin de cada etapa

- Reacciones luego del anlisis


20/38

El proceso de anlisis de riesgo consiste en ocho pasosinterrelacionados:

Identificacin y evaluacin de activo

Identificar las amenazas correspondientes

Identificar las vulnerabilidades

Determinar el impacto de la ocurrencia de una amenaza

Determinar los controles en el lugar

Determinar los riesgos residuales (Conclusiones)

Identificar los controles adicionales (Recomendaciones)

Preparar el informe del anlisis de riesgo.


21/38

Controlar el riesgo. Fortalecer los controles existentes y/o agregar nuevos

controles.

Eliminar el riesgo.

Eliminar el activo relacionado y con ello se elimina elriesgo.

Compartir el riesgo. Mediante acuerdos contractuales parte del riesgo se

traspasa a un tercero.

Aceptar el riesgo. Se determina que el nivel de exposicin es adecuado y por

lo tanto se acepta.


22/38

- Tipo de metodologa

Todo mtodo consiste en el orden y disposicin deaquellas cosas hacia las cuales es preciso dirigir laagudeza de la mente para descubrir alguna verdad.Descartes

considerado el padre de la filosofa moderna


23/38

Existen metodologas ampliamentereconocidas de manera internacional y de usogeneralizado.

Entre algunas podemos mencionar: MAGERIT

MECI

EBIOS CRAMM

OCTAVE


24/38

MAGERIT

Es un mtodo formal para investigar los riesgos

que soportan los Sistemas de Informacin, y para

recomendar las medidas apropiadas que deberanadoptarse para controlar estos riesgos.

Elaborada por un equipo interdisciplinar del

Comit Tcnico SSITAD, del Consejo Superior de

Informtica.


25/38

OBJETIVOS

Concienciar a los responsables de los sistemas deinformacin de la existencia de riesgos y de lanecesidad de interrumpirlos a tiempo.

Ofrecer un mtodo sistemtico para analizar talesriesgos.

Ayudar a descubrir y planificar las medidas oportunaspara mantener los riesgos bajo control.

Preparar a la Organizacin para procesos deevaluacin, auditora, certificacin o acreditacin,segn corresponda en cada caso.


26/38

MAGERIT PERMITE Estudiar los riesgos que soporta un sistema de

informacin y el entorno asociado a l.

Realiza de un anlisis de los riesgos; seala los

riesgos existentes, las amenazas que acechan alsistema de informacin, y determina lavulnerabilidad del sistema.

Los resultados del anlisis permiten a la gestin deriesgos recomendar las medidas apropiadas que

deberan adoptarse para prevenir, reducir ocontrolar los riesgos identificados y as reducir almnimo su potencialidad.


27/38

Etapa1: PlanificacinActividades:

I. Oportunidad

de realizacin

II. Definicin y

diseo de los

Objetivos

III. Planificacindel proyecto

IV. Lanzamiento

del proyecto

Etapa2: Anlisis de

Riesgos

Actividades:I. Recogida de

Informacin

II. Identificacin y

agrupacin de

activos

III. Identificacin y

evaluacin deAmenazas

IV. Identificacin y

estimacin de

Vulnerabilidades

V. Identificacin y

valoracin de

impactos

Etapa3: Gestin de

Riesgos

Actividades:I. Interpretacin del

Riesgo

II. Identificacin y

estimacin de las

Funciones

Salvaguarda

III. Seleccin deFunciones de

Salvaguarda

IV. Cumplimiento de

objetivos

Planificacin y otras

fases de Gestin de la

Seguridad de los S.I.

Etapa4: Seleccin de

Salvaguardas

Actividades:I. Identificacin de

mecanismos de

Seguridad

II. Seleccin de

mecanismos de

Salvaguarda

III. Especificacin demecanismos a

implantar

IV. Planificacin de la

implantacin

V. Integracin de

resultados

Objetivos, estrategias,

polticas de seguridad


28/38

Matriz de Calificacin, Evaluacin y Respuesta alos Riesgos


29/38

Evitad las menudas superfluidades, porque por unarendija puede naufragar un navo.Benjamin Franklin

Poltico, cientfico e inventor estadounidense.

- Concepto

- Control contra riegos

- Clasificacin de Controles


30/38

El control es una etapa primordial en la administracinde seguridad, pues, aunque una empresa cuente con

magnficos planes, una estructura organizacional

adecuada y una direccin eficiente, el encargado de

seguridad no podr verificar cul es la situacin real de laorganizacin a nivel de seguridad si no existe un

mecanismo que se cerciore e informe si los hechos van

de acuerdo con los objetivos que se esperan.

El concepto de control es muy general y puede ser

utilizado en el contexto organizacional, no solo en

seguridad, para evaluar el desempeo general frente a

un plan estratgico.


31/38

Arquitecturas inseguras

Una red o de programacin mal configurada o mal

diseada es un punto de entrada principal para

usuarios no autorizados. Al dejar una red localabierta, confiable, vulnerable a la Internet que es

altamente insegura, equivale a dejar una puerta

abierta en un vecindario con alta criminalidad

puede que no ocurra nada durante un cierto

tiempo, pero eventualmente alguien intentar

aprovecharse de la oportunidad. Es un riesgo.


32/38

Redes de difusin Los administradores de sistemas a menudo fallan al darse

cuenta de la importancia del hardware de la red en susesquemas de seguridad. El hardware simple, tal comoconcentradores y enrutadores a menudo se basan en

broadcast o en el principio de sin interruptores; esto es,cada vez que un nodo transmite datos a travs de la red aotro nodo recipiente, el concentrador o enrutador haceuna difusin de los paquetes de datos hasta que el nodorecipiente recibe y procesa los datos. Este mtodo es el

ms vulnerable para hacer engaos de direccionesspoofing al protocolo de resolucin de direcciones arp ocontrol de acceso a la media MAC tanto por intrusosexternos como por usuarios no autorizados. Es un riesgo.


33/38

Servidores centralizados Otro riego de redes y sistemas es el uso de computacin

centralizada. Una forma comn de reducir costos paramuchos negocios, es el de consolidar todos los servicios auna sola mquina poderosa. Esto puede ser conveniente

porque es fcil de manejar y cuesta considerablementemenos que una configuracin de mltiples servidores.

Sin embargo, un servidor centralizado introduce un puntonico de falla en la red. Si el servidor central est

comprometido, puede dejar la red totalmente intil o peoran, sensible a la manipulacin o robo de datos. En estassituaciones un servidor central se convierte en una puertaabierta, permitiendo el acceso a la red completa.


34/38

Controles fsicos El control fsico es la implementacin de medidas de

seguridad en una estructura definida usada para preveniro detener el acceso no autorizado a material confidencial.Ejemplos de los controles fsicos son:

Cmaras de circuito cerrado

Sistemas de alarmas trmicos o de movimiento

Guardias de seguridad

Identificacin con fotos

Puertas de acero con seguros especiales Biomtrica (incluye huellas digitales, voz, rostro, iris,

escritura a mano y otros mtodos automatizados utilizadospara reconocer individuos)


35/38

Controles tcnicos Los controles tcnicos utilizan la tecnologa como una

base para controlar el acceso y uso de datosconfidenciales a travs de una estructura fsica y sobre

la red. Los controles tcnicos son mucho ms extensosen su mbito e incluyen tecnologas tales como:

Encriptacin

Tarjetas inteligentes

Autenticacin a nivel de la red

Listas de control de acceso (ACLs)

Software de auditora de integridad de archivos


36/38

Controles administrativos

Los controles administrativos definen los factores

humanos de la seguridad. Incluye todos los niveles del

personal dentro de la organizacin y determina culesusuarios tienen acceso a qu recursos e informacin

usando medios tales como:

Entrenamiento y conocimiento

Planes de recuperacin y preparacin para desastres

Estrategias de seleccin de personal y separacin

Registro y contabilidad de personas.


37/38


38/38

No hay riesgos en

preguntar algo!!!

Análisis de Riesgos y Amenazas

Documents

Transcript of Análisis de Riesgos y Amenazas