Embed Size (px)
Citation preview
Análisis y Gestión de Riesgos en un
Sistema Informático
Resumen
Análisis y Gestión de riesgos en un sistema informático.-Sistema para evaluar posibles riesgos del sistema informático y controlar cualquier posible amenaza :o Detección de Amenazas
- Intencionadas- No intencionadas- Naturales
o Análisis y detección de vulnerabilidades del sistema de información.- Impacto en los activos afectados
o Definición e implantación de salvaguardas- Físicas- Técnicas- Administrativas
PRINCIPALES CONCEPTOS Y DEFINICIONES PARA ESTUDIAR
EL ANÁLISIS Y GESTIÓN DE RIESGOS:
• Recursos del sistema
• Amenazas
• Vulnerabilidades
• Incidentes de seguridad
• Impactos
• Riesgos
• Defensas, salvaguardas o medidas de seguridad
• Transferencia del riesgo a terceros
RECURSOS DEL SISTEMA
Los recursos son los activos a proteger del sistema informático de la
organización.
• Recursos hardware :ordenadores, etc.
• Recurso software: sistemas operativos, etc.
• Elementos de comunicaciones: routers, etc.
• Información manipulada a través del sistema: activo de naturaleza intangible
• Locales y oficinas donde se ubican recursos físicos
• Personas que directa o indirectamente se benefician del sistema
• Imagen y reputación se la organización
AMENAZAS
Evento accidental o intencionado que puede causar daño en el sistema
informático.
• Amenazas naturales: inundación, etc.
• Amenazas de agentes externos: virus informático, etc.
• Amenazas de agentes internos: mala formación de los empleados, etc.
Según la intencionalidad de la amenaza destacamos:
• Accidentes
• Errores
• Actualizaciones malintencionadas
VULNERABILIDADES
Debilidad en el sistema informático que pueda permitir a las amenazas causarle
daños y producir pérdidas en la organización.
INCIDENTES DE SEGURIDAD
Son cualquier evento que tenga o pueda tener como resultado la interrupción de
los servicios suministrados por un sistema informático, conllevando a posibles
pérdidas físicas, de activos o financieras. Un incidente es la materialización de una
amenaza.
IMPACTOS
Impacto es la medición y la valoración del daño que podría producir a la
organización un incidente de seguridad.
ESCALA PROPUESTA PARA MEDIR IMPACTO DEL DAÑO EN LA ORGANIZACIÓN
ALTO
• Pérdida o inhabilitación de recursos críticos.
• Interrupción de procesos de negocio.
• Daños en la imagen y reputación de la organización.
• Robo o revelación de información estratégica o especialmente protegida.
MODERADO
• Pérdida o inhabilitación de recursos críticos, pero cuentan con elementos de respaldo.
• Caída notable en el rendimiento de procesos de negocio o en la actividad.
• Robo o revelación de información confidencial, pero no considerada estratégica.
BAJO
• Pérdida o inhabilitación de recursos secundarios.
• Disminución del rendimiento de los procesos de negocio.
• Robo o revelación de información interna no publicada.
RIESGOS
Riesgo es la probabilidad de que una amenaza se materialice sobre una
vulnerabilidad del sistema informático, causando un determinado impacto en la
organización.
Herramientas y metodologías que permiten evaluar el riesgo
• OCTAVE => análisis y evaluación de riesgos.
• RiskWatch => software de evaluación del riesgo que comtempla los contoles precistos por
la norma ISO 17799.
• COBRA => como el anterior.
DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD
Es cualquier medio empleado para eliminar o reducir un riesgo. Su objetivo es reducir las
vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas y nivel de
impacto en la organización.
Medida de seguridad activa => cualquier medida usada para anular o reducir riesgos de
una amenaza. Se clasifican en:
o Medidas de prevención (aplicadas antes del incidente). Son:
• Autenticación de usuarios
• Control de accesos a los recursos
• Encriptación de datos sensibles
• La formación de usuarios, etc.
o Medidas de detección (aplicadas durante el incidente). Son:
• Sistema Detección de Intrusiones (IDS)
• Herramientas y procedimientos para el análisis de los “logs”(registros de la actividad de
los equipos.
DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD
Medida de seguridad pasiva => reduce el impacto cuando se produzca un
incidente de seguridad. También se conoce como medidas de corrección
(aplicadas después del incidente). Son:
• Copias de seguridad
• El plan de respuesta a incidentes y de continuidad del negocio, etc.
Por otro lado:
• Defensas físicas => control de acceso físico y condiciones ambientales.
• Defensas lógicas => protección mediante herramientas y técnicas
informáticas: autenticación de usuarios, control de acceso a los ficheros,
encriptación de los datos sensibles, etc.
NIVEL DE RIESGO RESIDUAL => riesgo que la organización está dispuesta a
aceptar. Manteniendo un equilibrio entre el esfuerzo técnico y económico.
TRANSFERENCIA DEL RIESGO A TERCEROS
Se trata de la contratación de una póliza de seguros especializada o bien a través
de la subcontratación de un proveedor especializado en seguridad informática.
