Pasos del Análisis de Riesgorecpr.org/blog/wp-content/uploads/2013/05/9pasos.pdf · 3. Asignar un...
Transcript of Pasos del Análisis de Riesgorecpr.org/blog/wp-content/uploads/2013/05/9pasos.pdf · 3. Asignar un...
Pasos del Análisis de Riesgo • Paso 1: Sondeo de Sistemas
• Paso 2: Identificación de Riesgo
• Paso 3: Análisis de Controles
• Paso 4: Identificación de Vulnerabilidades
• Paso 5: Determinación de Probabilidad
• Paso 6: Análisis de Impacto
• Paso 7: Determinación de Riesgo
• Paso 8: Controles Recomendados
• Paso 9: Documentación de Resultados
Paso 1: Sondeo de Sistemas
• El primer paso recomendado es llevar a cabo un inventario de aplicaciones y sistemas que procesan y/o guardan información protegida de seguridad"
• ➢ Servers"
• ➢ Networking components (routers, switches, firewalls)"
• ➢ Computer workstations (stationary computers used in office and work areas)"
• ➢ Mobile devices (laptops, tablets, hand-held computing devices, smartphones, etc.)"
• ➢Software (Windows 2008 Server, MS Windows 7 Professional, MS Office, EMR software, any other)"
Paso 2: Identificación de Riesgo
• Cuando usted termine el inventario de aplicaciones y sistemas, entonces es tiempo de considerar el riesgo al cual se exponen. Para mantener las
• El termino “REASONABLY ANTICIPATED” es utilizado en el “HIPAA Security Rule” para ilustrar la gestión adecuada que deben tomar las organizaciones. “Do not use canon to !
kill mosquitoe”!
• En éste paso usted identificará y documentará medidas de seguridad existentes y controles para determinar si los mismos previenen o identifican las amenazas adecuadamente.
Paso 3: Análisis de Controles
Paso 4: Identificación de Vulnerabilidades
• Las vulnerabilidades son identificadas típicamente como la ausencia de medidas de seguridad y controles que pudieron haber sido identificados durante el análisis de controles.
Paso 5: Determinación de Probabilidad
• Ahora que usted ha identificado las amenazas, controles y vulnerabilidades para sus activos informáticos, el próximo paso es determinar la probabilidad potencial de que amenazas explote las vulnerabilidades. La probabilidad se puede calificar como: “high, medium or low”.
Paso 6: Análisis de Impacto
• Considerar la imagen abarcadora y ser despiadadamente honesto, pensando en a largo plazo sobre todas las áreas de su operación.
• Cuantificar con precisión el impacto que pueda tener una amenaza, de esta convertirse en un hecho.
• Por ejemplo, ¿Podría usted asignar un impacto financiero a una organización y el resultante desprestigio a su imagen ante la comunidad a como resultado de una fuga de data PHI?
• Es por eso que nuevamente le sugerimos asignar valores como “high, medium or low”. Es recomendado que la organización cree definiciones para los niveles de impacto, para así mantener consistencia.
• Impactos, independientemente de su origen, deben ser medidos contra que tan rápido puede su organización recuperarse de un incidente causado por una amenaza convertirse en un hecho.
• Esta es una de las razones claves por las cuales es extremadamente critico contar con un equipo de respuesta a incidentes “incident response team” identificado, con pasos a tomar claramente definidos (incluyendo la comunicación) y la prioridad de dichos pasos. Recuerde: todo se basa en el manejo del riesgo, no en la eliminación del riesgo por completo.
Paso 7: Determinación de Riesgo
1. Asignar un valor de riesgo
2. Categorizar la larga lista de sus activos
1. El valor de riesgo se determina por probabilidad e impacto.
3. Asignar un valor de riesgo, para darle prioridad a los escasos recursos asignados a la seguridad de la información.
• Método OCTAVE.
• Los altos valores de riesgo de 9 o 6 indican las áreas donde medidas de seguridad adicionales y controles son necesarios.
• Valores de riesgo 4 o 3 significan que controles adicionales pueden ser beneficiosos.
• Finalmente, valores de riesgo de 2 o 1 sugieren que los riesgo están siendo manejados apropiadamente y que no se requiere tomar acciones adicionales al momento.
Paso 8: Controles Recomendados
• La recomendación de controles se hacen examinando las vulnerabilidades. Donde existe falta de control o débiles medidas de seguridad, la recomendación de control debe reforzarlos.
Paso 9: Documentación de Resultados
• Los tres principales documentos que son creados como resultado de un análisis de riesgo son:
• • Perfiles de riesgo
• • Reporte de análisis de riesgo
• • Plan de remediación de riesgo
¿Pregúntas?
• recpr.org/blog