Informáticos
“Análisis de Riesgos”
Integrantes:
Fredy Recalde -- Ing. Sistemas CEDENAR
Francisco Solarte -- Ing. IUCESMAG
Análisis de Riesgos
Agenda
• Introducción
• Definiciones
• Metodología
• Ejemplo
Análisis de Riesgos
Introducción:
En el “Análisis de Riesgo”, nuestro criterio común
nos ha llevado, ha identificar los activos más críticos
y sus potenciales de riesgo, primando para ello
tanto la integridad , confiabilidad y disponibilidad
(Triada de la seguridad).
Análisis de Riesgos
Definiciones
Análisis de Riesgos
Identificar, analizar, y administrar las fuentes de riesgos antes de que
empiecen ha amenazar el funcionamiento continuo y confiable de los
sistemas de información
Análisis de riesgos:
proceso sistemático para estimar la magnitud de los riesgos a que está
expuesta una Organización. Sabiendo lo que podría pasar, hay que tomar
decisiones:
Gestión de riesgos:
Selección e implantación de salvaguardas para conocer, prevenir, impedir,
reducir o controlar los riesgos identificados.
Análisis de Riesgos
Introducción al análisis y gestión de riesgos en su
contexto
Las tareas de análisis y gestión de riesgos no son un fin en sí mismas sino que se
encajan en la actividad continua de gestión de la seguridad.
El análisis de riesgos permite determinar:
Cómo es?
Cuánto vale?
Cómo de protegidos se encuentran los activos.
Permitirá elaborar un plan de seguridad que, implantado y operado, satisfaga los
objetivos propuestos.
Implantar los controles de seguridad requiere una organización gestionada y la
participación informada de todo el personal que trabaja con el sistema de
información.
Monitorización en general del sistema para determinar si satisface con eficacia y
eficiencia los objetivos propuestos.
Análisis de Riesgos
Introducción al análisis y gestión de riesgos en su
contexto
CONTROLES
ACTIVOS AMENAZAS
CONTROLES
Análisis de Riesgos
Introducción al análisis y gestión de riesgos en su
contexto
OBJETIVOS
ANALISIS DE RIESGOS
ESTRATEGIA Y POLITICAS
ORGANIZACION
PLANIFICACION
CONCIENCIACION
IMPLEMENTACION DE
Y
CONTRAMEDIDAS
FORMACION
Ejemplos de amenazas:
- Errores
- Daño intencional / ataque
- Fraude
- Robo
- Falla de equipo / software
- Desastres naturales
Análisis de Riesgos
Definiciones
Vulnerabilidades
Se define como la "ocurrencia real de materialización de una Amenaza
sobre un Activo", la Vulnerabilidad es una propiedad de la relación entre
un Activo y una Amenaza.
Hace sistemas más propensos de ser atacado por una amenaza o hace
que un ataque tenga una mayor probabilidad de tener éxito.
Análisis de Riesgos
Definiciones
Salvaguardas o Controles: por salvaguarda se define todo control
(política, procedimiento, norma, proceso o mecanismo) que contribuye
a:
- Reducir las vulnerabilidades de los activos
- Reducir la probabilidad de que las amenazas puedan explotar vulnerabilidades
- Reducir el impacto provocado en el negocio por la materialización de amenazas
¿Cómo se miden?
- Costo de adquisición
- Dificultad de implantación
Análisis de Riesgos
- Detectivos:
Registros de logs, sistemas integrados de auditoría
Sistemas de detección de intrusos (IDS)
- Preventivos:
Copias de respaldo (back-ups)
Plan de contingencias y continuidad del negocio
Análisis de Riesgos
Análisis de Riesgos
Análisis de Riesgos
Metodología
Las técnicas de valoración del riesgo se basan en la identificación del mismo y en la
asignación de un valor cualitativo y cuantitativo, para su ponderación respectiva
Una técnica para tomar decisiones en grupo es la Técnica Delphi. Esta consiste en
agrupar a expertos en un tema, todos entregan sus sugerencias de manera
anónima, luego estas son agrupadas y enviadas a c/u de los expertos para que den
sus opiniones. El ciclo se repite hasta que se consigue un consenso entre todas las
sugerencias.
Análisis de Riesgos
Metodología
Metodología Cualitativa
Grte. TI 4 2 4 4 3
Usuario 3 2 4 3 3
DBA 4 4 4 3 4
Ing. Sist. 3 4 3 4 2
Programador 2 3 3 4 2
Nota : El factor de exposición (Exposure Factor), corresponde al porcentaje de daño que causaría, sobre el valor del activo, la
concreción de la amenaza (qué tan expuesto está el activo frente a un evento).
Análisis de Riesgos
Metodología
Metodología Cuantitativa
Nota : ARO (Anualized Rate of Ocurrence ), probabilidad que una amenaza se concrete en un año.
Análisis de Riesgos
Metodología
Metodología Cuantitativa
INTERNET
IDS
vlan 2
vlan 2
vlan 2
servidores
Niveles de madurez de la seguridad
Análisis de Riesgos
El nivel de riesgo al que esta sometida una organización nunca puede erradicarse
totalmente. Se trata de buscar un equilibrio entre el nivel de recursos y mecanismos
que es preciso dedicar para minimizar estos riesgos y un cierto nivel de confianza
que se puede considerar suficiente (nivel de riesgo aceptable)
Análisis de Riesgos
Determinación impacto
Análisis de Riesgos
Determinación de la frecuencia
Análisis de Riesgos
Análisis de Riesgos
Gestión de riesgos
Gestión de riesgos
Objetivo: reducir las posibilidades de que un evento cause un
impacto en los activos.
Una vez analizado el riesgo es preciso gestionarlo:
- Se acepta el riesgo
- Se mitiga mediante la implantación de salvaguardas / controles,
si las implanto ¿Cuánto cuestan?, ¿son efectivas en costos?
- Se transfiere:
A un proveedor de servicios
Mediante una póliza de cobertura electronica
Gestión de riesgos
Tareas Centrales de la gestión