Gestión de riesgos: Abarca todas las actividades encaminadas a proporcionar un nivel de seguridad adecuado en las tecnologías de la información.

Transcripción

1 Evaluación de la Seguridad. Probabilidad La probabilidad se refiere al grado de certeza de ocurrencia de un evento en particular. Usualmente está basada en la frecuencia histórica. Sin embargo, para el propósito de toma de decisiones, las probabilidades rara vez están basadas estrictamente sobre información histórica; generalmente son reajustadas tomando en consideración la información disponible en el momento, a lo cual se puede hacer referencia como probabilidad subjetiva. Riesgo El riesgo es generalmente definido como la probabilidad de pérdida. En términos económicos esto se refiere a una disminución del ingreso debido a pérdidas que resultan de un peligro. Aversión al riesgo La aversión al riesgo se refiere a la actitud individual hacia el riesgo. La mayoría de las personas son contrarias al riesgo, es decir, están llanas a aceptar algún costo para evitar el riesgo. Pero hay un amplio espectro en los grados de aversión (Binswanger, 1980, y Young, 1979). Análisis y evaluación del riesgo. Análisis de riesgos :Identifica y calcula los riesgos de un sistema para establecer y justificar las medidas de protección necesarias para disminuir riesgos. Forma parte de la gestión de riesgos. Gestión de riesgos: Abarca todas las actividades encaminadas a proporcionar un nivel de seguridad adecuado en las tecnologías de la información. Situación de riesgo: Una amenaza sucede sobre un activo en un escenario determinado. Activo: Es un bien, un elemento de vital importancia para el correcto funcionamiento de una organización. Amenaza: Causa de posible daño o efecto negativo en el sistema. Escenario: Entornos temporales, físicos o lógicos en los que se puede producir una amenaza sobre un activo. Entorno : Lo que rodea a la instalación Vulnerabilidad: Debilidades del sistema que pueden ser utilizadas por las amenazas para causar daño. Medida de protección: Componentes del sistema de seguridad que reducen las vulnerabilidades, protegen contra las amenazas y limitan el impacto de sucesos dañinos.

2 Riesgo: Impacto de la situación. Análisis de la seguridad actual: Estudio de las vulnerabilidades de las situaciones de riesgo detectadas. Medidas de seguridad: Sinónimo de medidas de protección. Impacto: Costo de reposición del activo, se mide en unidades monetarias Diagrama de relaciones: Vulnerabilidad reduce (1:n) produce Situación de riesgo (1:n) (1:n) (0:n) aplica Medida de protección (1:1) (1:1) (1:1) Amenaza Activo Escenario corre Riesgo Proceso : Calcular el riesgo. Estudiar situaciones de riesgo Análisis de la seguridad actual Estudiar vulnerabilidad. Analizar las medidas de protección instaladas en el sistema y comprobar si cumplen su objetivo. Calcular riesgo. Obtener impacto de la situación. Recomendar medida de protección para una situación de riesgo.

3 Análisis del Riesgo Análisis de riesgos Determinar el riesgo Recomendar medida de protección Identificar activos, amenazas y escenarios Estudiar situaciones de riesgo Análisis de seguridad actual Calcular el riesgo Estudiar vulnerabilidad Estudiar atractivo

4 Orden de ejecución Identificar activos, amenazas y escenarios Estudiar situaciones de riesgo Estudiar vulnerabilidad Estudiar atractivo Calcular riesgo Recomendar protección

5 Conjunto de Activos Amenazas Escenarios Personal Incendio Edificios Imagen de Eª Robo Oficinas Instalaciones Sabotaje Salas de equipos Información propia y de clientes Espionaje industrial Archivos Proyectos desarrollados y en desarrollo Inundación Tableros y cajas Productos Cortes de energía Servidores Clientes Fenómenos naturales Complejo industrial Suministros Emanaciones tóxicas Horas laborales Comunicaciones Accesos indebidos Horas no laborales Medidas de protección: Control de accesos Control de autenticidad Pulsador de emergencia Estructura organizativa y Procedimientos de seguridad y emergencias Vigilancia permanente mediante CCTV Copias de respaldo Monitoreo de red Auditoría de accesos Detectores de intrusión, rotura de cristales Realización de inspecciones periódicas en la seguridad del edificio Detección de emanaciones Generadores de emergencia y UPS Sistemas contraincendios Factores de Vulnerabilidad Control de personal (interno y externo) Entorno de la instalación Clasificación de la información según su criticidad Estructura organizativa de seguridad Separación de entornos de desarrollo y explotación Factores de Atracción Ambiente socio laboral Entorno Manejo de valores Motivaciones políticas, terroristas, competencia, u otros Facilidades de ingreso/escape Gestión de suministros

6 Fugas de gas/combustibles Incendio Mantención de las instalaciones Mantención de sistemas (incluye hardware y software) Ámbitos Área de seguridad general Organización Personal Planificación de seguridad general y de informática Área de comunicaciones y lógica Control de accesos Factor de atracción ( Ppi * R pi) = valor del factor de atracción i. Ppi = peso de la pregunta Pi que afecta al factor de atracción i. Rpi = respuesta de la pregunta Pi Factor de Vulnerabilidad ( Ppi * R pi) = valor del factor de vulnerabilidad i. Ppi = peso de la pregunta Pi que afecta al factor de atracción i. Rpi = respuesta de la pregunta Pi Atractivo M 2 1 ( FAi) Ppi = Valor del atractivo m

7 Características de un atractivo que influyen en que una amenaza se materialice. Fai = Valor de los factores de atracción involucrados. Ppi = Peso de las preguntas que afectan al factor de atraccción i. m = Nº de factores de atraccción. Vulnerabilidad m 2 1 ( FVi) Ppi = Valor de la vulnerabilidad m Debilidades del sistema, que pueden ser utilizados por las amenazas para causar daños FVi = Valor de los factores de vulnerabilidad involucrados. Ppi = Peso de las preguntas que afectan al factor de vulnerabilidad i. m = Nº de factores de vulnerabilidad. Probabilidad de Riesgo A* V = P Atractivo por vulnerabilidad Riesgo P * I = R Probabilidad por impacto (costo de reposición) Situación: Un activo, una amenaza y un escenario. Una amenaza puede ocurrir sobre un activo concreto en un escenario determinado.

8 Pregunta: cada pregunta se refiere a una medida de protección, si se responde negativa, es necesario implantar esa medida de protección. Son de naturaleza booleana, admiten dos posibles respuestas, si o no. Peso: varía entre 1 y 100 ( 0 y 4 ) Los conceptos Vulnerabilidad, Atractivo y Riesgo, se unen en un único concepto: RIESGO.