Académique Documents
Professionnel Documents
Culture Documents
Los alumnos pueden utilizar este material, siempre y cuando mencionen su origen en todas las pginas u ocasiones.
RiskMgmnt
Seguridad Informtica
Risk Management
RiskMgmnt
Risk Management
Agenda 1. Introduccin a Risk Management 2. Definiciones y Anlisis de Conceptos 3. Metodologa de Risk Management
RiskMgmnt
RiskMgmnt
Intencional X X X
RiskMgmnt
RiskMgmnt
Costo de Reposicin del Equipo (Hw) Costo de Reposicin del Software Costo de Reposicin de las Aplicaciones Costo de Reposicin de los Datos Prdida del Negocio Prdida de Imagen Otros Costos.......
RiskMgmnt
Impacto Financiero (Costo de Prdida Dao) Probabilidad de Ocurrencia Costo /Unidad de Tiempo
Lic. Jos Miguel Sandoval Gonzlez
Septiembre/2002
2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
RiskMgmnt
Probabilidad de Ocurrencia
Lic. Jos Miguel Sandoval Gonzlez Septiembre/2002
2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
RiskMgmnt
RiskMgmnt
1. 2. 3.
RiskMgmnt
RiskMgmnt
RiskMgmnt
RiskMgmnt
Categoras
Humana Ambiental
Clases
Intencional y No-intencional Natural y Fabricada
Lic. Jos Miguel Sandoval Gonzlez RiskMgmnt
Septiembre/2002
2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
RiskMgmnt
RiskMgmnt
RiskMgmnt
RiskMgmnt
RiskMgmnt
RiskMgmnt
RiskMgmnt
Elaborar la Matriz de Anlisis y Evaluacin de Riesgos (Activos VS Amenazas) 3.6 Determinar: Impacto Financiero, Probabilidad de ocurrencia y Riesgo por c/relacin ActivoAmenaza
Lic. Jos Miguel Sandoval Gonzlez Septiembre/2002
2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
RiskMgmnt
RiskMgmnt
Establecer objetivos claros para el Risk Management Asignar Equipo de Gente Calificada Delegar autoridad Revisar Conclusiones Tomar decisiones respecto a Medidas de Proteccin Dar Soporte a la Implementacin Evaluar Resultados
Lic. Jos Miguel Sandoval Gonzlez RiskMgmnt
Septiembre/2002
2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
Usuarios Gerencia de Informtica Soporte Tcnico Desarrollo de Sistemas Operaciones del Centro de Cmputo Auditora Seguridad Informtica, Otros
Lic. Jos Miguel Sandoval Gonzlez RiskMgmnt
Septiembre/2002
2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
RiskMgmnt
Mquina Central
Software
Sistemas Operativos Programas Aplicaciones Utileras Programas de Prueba Comunicaciones
Fsicos
Sistemas ambientales Equipo de Respaldo Accesorios Edificio
Equipo de Comunicaciones
Lneas Controladores " Front End Processors " Modems Multiplexores
Medios de Almacenamiento
Discos Cintas Cartuchos Cassettes
Personal
Personal de Informtica Contratistas Proveedores Usuarios Personal del Edificio
Datos
Clasificados De Planeacin Financieros De Logstica De Personal Comunicaciones
Unidades de Interfase Servidores de Archivos Dispositivos de Encripcin Cables Salas Telfonos Faxes Etc.
Dispositivos de I/O
Impresoras Dispositivos de Tarjetas Terminales " Gateways " Drives de Discos y Cintas
Administrativos
Documentacin Operaciones Procedimientos Inventario
Equipo Especial
Equipo de Bases de Datos Controladores Servidores de Archivos Septiembre/2002
2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
Activos Intangibles:
Son aquellos activos que NO son fcilmente medibles en trminos monetarios (dlares, pesos, etc.) Ejemplos: - Tylenol/Jonhson & Jonhson. Sellos rotos y
cpsulas con txicos introducidas en los frascos - Pentium/ Intel Errores en clculos matemticos - Carcasas de Notebooks (Compaq) - Calidad en Notebooks (Dell)
Lic. Jos Miguel Sandoval Gonzlez Septiembre/2002
2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
RiskMgmnt
Activos Lgicos:
Son aquellas cosas como datos o arreglos de cosas. Muchos de ellos son Intangibles.
Ejemplos:
Un programa en un diskette. Cunto vale el diskette fsico? 2 US Dlares Cunto vale el programa? Cientos de Miles de Dlares Valor de rehacer el programa??? Lic. Jos Miguel Sandoval Gonzlez
Septiembre/2002
2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
RiskMgmnt
RiskMgmnt
Valor adquirido.
El valor agregado que adquiere un Activo sobre su valor intrnseco. Ejemplos:
Un diskette con informacin o programas h Personal entrenado i Personal familiarizado con los procedimientos i Manuales de procedimientos comunmente usados
h
Lic. Jos Miguel Sandoval Gonzlez Septiembre/2002
2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
RiskMgmnt
Valor en US Dlares
Menor a $300 Hasta $700 Hasta $2,000 Hasta $5,000 $15,000 $40,000 $110,000 $300,000 $800,000 $2200,000
En esta tabla cada lmite de rango crece por un factor de alrededor de 2.7183 en lugar de un factor de 10. Lic. Jos Miguel Sandoval Gonzlez
Septiembre/2002
2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
RiskMgmnt
Contabilidad Estndar
-
- Valores Intrnsecos y Adquiridos - Uso de la Tcnica : Lluvia de Ideas - Uso de la Tcnica Delphi
Lic. Jos Miguel Sandoval Gonzlez Septiembre/2002
2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
RiskMgmnt
RiskMgmnt
Usando una matrz de funciones o puestos vs Riesgos de la funcin o Puesto (Job Exposures), se pueden estimar los probables riesgos que una persona en ese puesto o funcin si quisiera hacer dao, y en que reas podra hacer dao.
Lic. Jos Miguel Sandoval Gonzlez Septiembre/2002
2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
RiskMgmnt
Riesgo Grande
- Operador del equipo de cmputo - Empleado del rea de Entrada y Actualizacin de Datos - Gerente de Operaciones del Centro de Cmputo - System Programmer
Riesgo Moderado
- Ingeniero de Sistemas - Gerente de Programacin
Riesgo Limitado
- Programador de Aplicaciones - Operador de equipo de Comunicaciones - Administrador de Bases de Datos - Cintotecario
Riesgo Bajo
Operador de terminales
Septiembre/2002 Lic. Jos Miguel Sandoval Gonzlez RiskMgmnt
2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
RiskMgmnt
RiskMgmnt
RiskMgmnt
RiskMgmnt
PC10:
PC11:
Disposicin de Datos
La disposicin de los datos despus del perodo de uso, incluyendo los mtodos y localidades de almacenamiento, cantidad de tiempo almacenado y su disposicin final conforme sea apropiada.
Lic. Jos Miguel Sandoval Gonzlez
Septiembre/2002
2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
RiskMgmnt
Standford Research Institute Data Processing Management Association Information Systems Security Association National Center for Computers Crime Data
Compaas de Seguros Statistics from Canada for such things as fire loss data U.S. Geological Survey for earthquake risk areas National Weather bureaus for weather risk data
Lic. Jos Miguel Sandoval Gonzlez RiskMgmnt
2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
RiskMgmnt
Accidental
Interrupcin
Revelacin
Revelacin
Remocin
Remocin
Activo
Interrupcin
Destruccin
Destruccin
Corrupcin
Corrupcin
RiskMgmnt
Equivalente Fraccionario
1/300 1/200 1/100 1/50 1/25 1/5 1/2 1/1 1/.5 1/.25 12/1 12/.5 52/1 365/1 365/.5 265/.1 8760/1 Lic. Jos Miguel Sandoval Gonzlez 525,600/1
Costo/Multiplicador de Prdida
0.0 0.00333 0.005 0.01 0.02 0.04 0.20 0.50 1.0 2.0 4.0 12.0 24.0 52.0 365.0 730.0 3,650.0 8,760.0 525,600.0
RiskMgmnt
2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
DETERMINAR PROBABILIDAD DE OCURRENCIA FRECUENCIA VARIABLE Una vez en 300 aos P=1 Una vez en 30 aos P=2 Una vez en 3 aos P=3 Una vez cada 100 das P=4 Una vez cada 10 das P=5 Una vez por da P=6 Diez veces por da P=7 Cien veces por da P=8
RiskMgmnt
U U U U U U U
= = = = = = =
1 2 3 4 5 6 7
Una vez en 300 aos Una vez en 30 aos Una vez en 3 aos Una vez cada 100 das Una vez cada 10 das Una vez por da Diez veces por da Cien veces por da
P P P P P P P P
= = = = = = = =
1 2 3 4 5 6 7 8
VALORES DE P
VALORES DE U
1 1 2 3 4 5 6 7 2 3 4 300 3K 30K 300K 3M 30M 5 300 3K 30K 300K 3M 30M 300M 6 3K 30K 300K 3M 30M 300M 7 30K 300K 3M 30M 300M 8 300K 3M 30M 300M
300 3K 30K
RiskMgmnt
U U U U U U U
2
= = = = = = =
1 2 3 4 5 6 7
3 4
Una vez en 300 aos Una vez en 30 aos Una vez en 3 aos Una vez cada 100 das Una vez cada 10 das Una vez por da Diez veces por da Cien veces por da
5 300 3K 30K 300K 3M 30M 300M 6 3K 30K 300K 3M 30M 300M
P P P P P P P P
= = = = = = = =
1 2 3 4 5 6 7 8
VALORES DE P
VALORES DE U
300 3K 30K
Septiembre/2002
RiskMgmnt
U U U U U U U
2
= = = = = = =
1 2 3 4 5 6 7
3 4
Una vez en 300 aos Una vez en 30 aos Una vez en 3 aos Una vez cada 100 das Una vez cada 10 das Una vez por da Diez veces por da Cien veces por da
5 300 3K 30K 300K 3M 30M 300M 6 3K 30K 300K 3M 30M 300M
P P P P P P P P
= = = = = = = =
1 2 3 4 5 6 7 8
VALORES DE P
VALORES DE U
300 3K 30K
Septiembre/2002
RiskMgmnt
INTENCIONAL
MODIFICACION DIVULGACION DESTRUCCION
SISTEMA / NOMBRE DEL ARCHIVO PAYMASDATA PAYPERMAST PAYBONDUCI PAYNAMADDI PAYDETERMI PAYPERCHSS PAYEONCHES PAYNAMCHES PAYDATCHE PAYCLNDATA PAYMILMEAL PAYTRANERR PAYOUTORD PAYOURDATA
5 3 3. 3K
4 2 0. 3K 4 2 0. 3K
3K
3 33K
4 2 0. 3K 6 2 3. 3K 3 3K 5 3 33K 5 3 33K 4
*2 4 0. 3K 4 4 2 *2 4 0. 3K *3 4 0.3K
*2 4 0. 3K
*3 4 3. 3K
*3 3 0. 3K *3 3 0. 3K *4 3 3K 3 3K
*4 3 3. 3K *4 3 3. 3K *5 3 33K *5 3 33K
*4 3 * Proceso de Actualizacin 3.3 K Paso 1 *4 3 3. 3K *5 3 * Proceso de Verificacin Paso 2 * Proceso de Calculo Paso 3 * Proceso de Salida Paso 4
COMENTARIOS
0. 3K
2 0. 3K
*2 4 0. 3K *3 4 3K
*3 4 3. 3K *3 4 3K 4 3K
33K
2 0 .3K 4 2 0 .3K
3 3.3K 5 3 3.3K
2 6 33K 3 4 3.3K
3K
4 2 0. 3K
*3 4 *3 4 0.3K 3K
*3
*4
*5
33K
2 0 .3K 4 2 0 .3K 4
2 0 .3K 6 2 33K
RiskMgmnt
S E G UR ID E S GUR S E GU R I I
R A T I V A T O N A L S S C A
ACTIVO
RiskMgmnt
RiskMgmnt
Costo de Adquisicin Costo de Desarrollo Costo de Adaptacin Costo de Mantenimiento Costo de Educacin Otros Costos
Lic. Jos Miguel Sandoval Gonzlez RiskMgmnt
2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
Utilizar Tcnicas de Planeacin de Proyectos Asegurar Funcionamiento Efectuar correcciones y adaptaciones pertinentes Emplear buenas prcticas gerenciales Verificar resultados Certificar implementacin
Lic. Jos Miguel Sandoval Gonzlez RiskMgmnt
2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
6. The Risk Analysis Machine Basic Data Systems, Inc. 7. RISKA Chesapeake Computer Group Danville, CA..
2.
3.
4.
5.
Septiembre/2002
2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.