ipnRiskMgmnt 03

Esta presentacin, en su formato y contenido, es propiedad intelectual de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica, A.C.
Los alumnos pueden utilizar este material, siempre y cuando mencionen su origen en todas las pginas u ocasiones.
Lic. Jos Miguel Sandoval Gonzlez Septiembre/2002

2002, Material Intelectual Propiedad de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica A.C.
RiskMgmnt
Seguridad Informtica
Risk Management

RiskMgmnt
Risk Management
Agenda 1. Introduccin a Risk Management 2. Definiciones y Anlisis de Conceptos 3. Metodologa de Risk Management

RiskMgmnt
1. Introduccin a Risk Management

Riesgos genricos en Informtica: u Hardware u Software u Datos u Abusos u Desastres Naturales
RiskMgmnt

Riesgos en Informtica Datos Accidental u Modificacin X u Destruccin X u Divulgacin X
Intencional X X X
RiskMgmnt

Anlisis de Riesgos Ejemplo:
Ambiente u Empresa con un Centro de Cmputo Centralizado (Mainframe) u Sin localidad de Respaldo u Con debilidades en sus Sistemas de Seguridad u Sin Planes de Contingencia
RiskMgmnt

Prdidas Catastrficas:
u u u u u u u
Costo de Reposicin del Equipo (Hw) Costo de Reposicin del Software Costo de Reposicin de las Aplicaciones Costo de Reposicin de los Datos Prdida del Negocio Prdida de Imagen Otros Costos.......
Cul es el Valor del Riesgo ?

RiskMgmnt

Factores en la Determinacin del Valor del Riesgo
u u u
Impacto Financiero (Costo de Prdida Dao) Probabilidad de Ocurrencia Costo /Unidad de Tiempo
Lic. Jos Miguel Sandoval Gonzlez
Septiembre/2002
RiskMgmnt

Cuantificacin del Riesgo Costo de Prdida RIESGO = X
Probabilidad de Ocurrencia
RiskMgmnt

VALOR DEL RIESGO
Costo de Prdida Total = $ 150000,000 U.S.D.
Probabilidad de Ocurrencia = 0.003/Ao Valor del Riesgo = $ 450,000 U.S.D. /Ao

RiskMgmnt

Al evaluar un riesgo: Tres posibles acciones
1. 2. 3.
Tolerar el Riesgo Reducir el Costo de Prdida

(Contratar un Seguro )
Reducir la Probabilidad de Ocurrencia

(Poner Controles o Medidas de Proteccin)
REGLA: Costo de Proteccin <= (Costo de Prdida)(Probabilidad)

RiskMgmnt
2. Definiciones y Anlisis de Conceptos

Asset (Activo)
Cualquier Recurso de SW, Datos, HW, Fsico, Administrativo, de Personal o de Comunicaciones dentro de un Sistema o Actividad del Proceso Automatizado de Datos.

RiskMgmnt

Vulnerability (Vulnerabilidad)
Una debilidad en los procedimientos de seguridad del sistema, en el diseo del hardware, en los controles internos, etc., la cual puede ser explotada para lograr el acceso no autorizado a informacin clasificada o sensitiva.
RiskMgmnt

Threat (Amenaza)
Cualquier circunstancia o Evento con el potencial para causar dao a un sistema automatizado en la forma de destruccin, revelacin, modificacin de datos y/o negacin de servicio o que puede afectar adversamente las instalaciones o las operaciones de una Organizacin.
RiskMgmnt

Threat (Amenaza)
Las amenazas se pueden categorizar y clasificar de la siguiente manera:
Categoras
Humana Ambiental
Clases
Intencional y No-intencional Natural y Fabricada
Lic. Jos Miguel Sandoval Gonzlez RiskMgmnt
Septiembre/2002

Risk (Riesgo)
El potencial de dao o prdida que existe como resultado del aparejamiento entre Amenaza y Vulnerabilidad.

RiskMgmnt

Exposure (Exposicin, Situacin de Riesgo)
Una evaluacin numrica del grado de vulnerabilidad de un activo a un evento o amenaza, calculado en trminos de costo por unidad de tiempo estadsticamente esperado. (Exponer = Colocar una cosa para que reciba la accin de un agente. Arriesgar)
RiskMgmnt

Annual Loss Expectancy (ALE). (Expectativa de Prdida Anual)
El Annual Loss Expectancy (ALE) de un sistema o actividad de proceso automatizado de datos, es el valor esperado de prdida anual o dao al sistema o actividad ocasionado por ataques contra sus activos.
RiskMgmnt

Safeguard (Salvaguardia, Proteccin, Medida de Proteccin)
Una entidad (posiblemente un objeto fsico, un procedimiento o software) usado para prevenir, disminuir el impacto de, ayudar en la deteccin de, o en la recuperacin de riesgos.

RiskMgmnt

Risk Analysis (Anlisis del Riesgo)
1. Un anlisis de los activos y las vulnerabilidades de un sistema para establecer una prdida o dao esperado de ciertos eventos, basado en probabilidades estimadas de ocurrencia de esos eventos. 2. El proceso de identificar los riesgos de seguridad, determinando su magnitud e identificando las reas que necesitan ser protegidas.
RiskMgmnt

Risk Assessment (Evaluacin del Riesgo)
Un estudio de las vulnerabilidades, amenazas, probabilidad, prdida o impacto y la efectividad terica de las medidas de seguridad. Los gerentes usan los resultados de un Risk Assessment para desarrollar especificaciones y requerimientos de seguridad.
RiskMgmnt

Risk Management (Administracin del Riesgo)
El proceso total de identificar, evaluar, controlar y minimizar eventos inciertos que afectan a los recursos de un sistema. El Risk Management incluye: Anlisis de Riesgo, Anlisis Costo-Beneficio, Seleccin, implementacin, Prueba y Evaluacin de las Medidas de Proteccin, y una revisin total del Sistema de Seguridad.
RiskMgmnt
3. Metodologa de Risk Mgmt

3.1 3.2 3.3 3.4 3.5 Obtener el Compromiso y Soporte de la Alta Gerencia Formar el Equipo de Anlisis y Evaluacin de Riesgos Identificar, Clasificar y Valuar Activos Identificar Amenazas y Vulnerabilidades
Elaborar la Matriz de Anlisis y Evaluacin de Riesgos (Activos VS Amenazas) 3.6 Determinar: Impacto Financiero, Probabilidad de ocurrencia y Riesgo por c/relacin ActivoAmenaza
RiskMgmnt

3.7 3.8 3.9 Definir Medidas de Proteccin (Estrategias y Controles) Desarrollar el Anlisis Costo/Beneficio de las Medidas de Proteccin Determinar la Factibilidad Tcnica, Econmica y Operacional de la implementacin de las Medidas de Proteccin.
3.10 Probar, Implementar y Evaluar las Medidas de Proteccin

RiskMgmnt

3.1
u u u u u u u
Obtener el Compromiso y Soporte de la Alta Gerencia
Establecer objetivos claros para el Risk Management Asignar Equipo de Gente Calificada Delegar autoridad Revisar Conclusiones Tomar decisiones respecto a Medidas de Proteccin Dar Soporte a la Implementacin Evaluar Resultados
Septiembre/2002

3.2 Formacin del Equipo de Anlisis y Evaluacin de Riesgos
u u u u u u u
Usuarios Gerencia de Informtica Soporte Tcnico Desarrollo de Sistemas Operaciones del Centro de Cmputo Auditora Seguridad Informtica, Otros
Septiembre/2002

3.3 Identificar, Clasificar y Valuar Activos.
Identificacin y Clasificacin de Activos.
Hardware Software Personal. Habilidades y procedimientos Activos Fsicos y Ambientales Activos Administrativos Datos e Informacin Equipo de Comunicaciones Imagen de la Empresa (Goodwill)
RiskMgmnt

3.3 Identificar, Clasificar y Evaluar Activos, ejemplo:
Hardware
CPU Memoria Principal Canales de Entrada/Salida
Mquina Central
Software
Sistemas Operativos Programas Aplicaciones Utileras Programas de Prueba Comunicaciones
Fsicos
Sistemas ambientales Equipo de Respaldo Accesorios Edificio
Equipo de Comunicaciones
Lneas Controladores " Front End Processors " Modems Multiplexores
Medios de Almacenamiento
Discos Cintas Cartuchos Cassettes
Consola del Operador
Personal
Personal de Informtica Contratistas Proveedores Usuarios Personal del Edificio
Datos
Clasificados De Planeacin Financieros De Logstica De Personal Comunicaciones
Unidades de Interfase Servidores de Archivos Dispositivos de Encripcin Cables Salas Telfonos Faxes Etc.
Dispositivos de I/O
Impresoras Dispositivos de Tarjetas Terminales " Gateways " Drives de Discos y Cintas
Administrativos
Documentacin Operaciones Procedimientos Inventario
Equipo Especial
Equipo de Bases de Datos Controladores Servidores de Archivos Septiembre/2002

Clasificacin de Activos, tips
Activos Tangibles:
Son aquellos cuyo valor puede ser fcilmente medible en trminos monetarios (dlares, pesos, etc.)
Activos Intangibles:
Son aquellos activos que NO son fcilmente medibles en trminos monetarios (dlares, pesos, etc.) Ejemplos: - Tylenol/Jonhson & Jonhson. Sellos rotos y
cpsulas con txicos introducidas en los frascos - Pentium/ Intel Errores en clculos matemticos - Carcasas de Notebooks (Compaq) - Calidad en Notebooks (Dell)
RiskMgmnt

Clasificacin de Activos
Activos Fsicos:
Son aquellos activos que podemos tocar o sentir. Son tambin Activos Tangibles.
Activos Lgicos:
Son aquellas cosas como datos o arreglos de cosas. Muchos de ellos son Intangibles.
Ejemplos:
Un programa en un diskette. Cunto vale el diskette fsico? 2 US Dlares Cunto vale el programa? Cientos de Miles de Dlares Valor de rehacer el programa??? Lic. Jos Miguel Sandoval Gonzlez
Septiembre/2002
RiskMgmnt

Valuacin de Activos
Valor intrnseco y Valor Adquirido Valor Intrnseco.
El costo de reemplazar el componente fsico o el valor en que puede ser vendido el componente fsico. Ejemplos:
El valor Intrnseco de un diskette puede ser de 2 USD. i El valor de un mainframe obsoleto puede ser de mil USD. i El valor de un manual de procedimientos puede ser el valor de los costos de copiado ms el costo del papel.
h
RiskMgmnt

Valuacin de Activos
Valores intrnsecos y adquiridos
Valor adquirido.
El valor agregado que adquiere un Activo sobre su valor intrnseco. Ejemplos:
Un diskette con informacin o programas h Personal entrenado i Personal familiarizado con los procedimientos i Manuales de procedimientos comunmente usados
h
RiskMgmnt

Valuacin de Activos
Mtodo: Escala Base 10:
Nmero Escalar 0 1 2 3 4 . 8
Septiembre/2002
Valor en US Dlares $ 1 o menos hasta $10 $100 $1,000 $10,000 . $100000,000

En esta escala, el nmero asignado se basa en una potencia de 10.


Mtodo: Escala Base Logartmica :
Nmero escalar
0 1 2 3 4 5 6 7 8 9
Valor en US Dlares
Menor a $300 Hasta $700 Hasta $2,000 Hasta $5,000 $15,000 $40,000 $110,000 $300,000 $800,000 $2200,000
En esta tabla cada lmite de rango crece por un factor de alrededor de 2.7183 en lugar de un factor de 10. Lic. Jos Miguel Sandoval Gonzlez
Septiembre/2002
RiskMgmnt

Valuacin de Activos:
Contabilidad Estndar
-
Valor en libros Depreciacin acumulada
Costo de Reemplazo (Valor actual en el mercado)
(Valor para el dueo u organizacin y valor para el criminal)
Prdida de disponibilidad Mtodos de Estimacin
- Valores Intrnsecos y Adquiridos - Uso de la Tcnica : Lluvia de Ideas - Uso de la Tcnica Delphi
RiskMgmnt

3.4 Identificar Amenazas y Vulnerabilidades Fuentes de informacin sobre Amenazas: 1. Anlisis de Vulnerabilidad (Puntos relacionados con el personal) 2. Escenarios de Amenazas 3. Anlisis de Puntos de Control 4. Antecedentes Histricos 5. Mtodos de Recoleccin de Informacin 6. Fuentes Externas a la Organizacin
RiskMgmnt

3.4.1. Anlisis de Vulnerabilidad
Tambin conocido como Anlisis de Sensitividad. Se analizan las vulnerabilidades del nuevo sistema respecto a la gente que trabajar en el mismo. Para cada funcin (puesto) involucrado, se examina: Las habilidades y entrenamientos necesarios para hacer el trabajo. El acceso al sistema, necesario para hacer el trabajo Las condiciones normales de trabajo y Los activos que el trabajo impacta.
Usando una matrz de funciones o puestos vs Riesgos de la funcin o Puesto (Job Exposures), se pueden estimar los probables riesgos que una persona en ese puesto o funcin si quisiera hacer dao, y en que reas podra hacer dao.
RiskMgmnt

Nivel de Riesgo de funciones o puestos basados en la Exposicin de Activos al Riesgo
El Riesgo ms Grande
- Auditor Informtico - Especialista en Seguridad Informtica
Riesgo Grande
- Operador del equipo de cmputo - Empleado del rea de Entrada y Actualizacin de Datos - Gerente de Operaciones del Centro de Cmputo - System Programmer
Riesgo Moderado
- Ingeniero de Sistemas - Gerente de Programacin
Riesgo Limitado
- Programador de Aplicaciones - Operador de equipo de Comunicaciones - Administrador de Bases de Datos - Cintotecario
Riesgo Bajo
Operador de terminales
Septiembre/2002 Lic. Jos Miguel Sandoval Gonzlez RiskMgmnt

3.4.2 Escenarios de amenazas
Esta tcnica para la identificacin de amenazas, es til cuando no se tienen datos slidos sobre las amenazas. En esta tcnica uno describe lo que una amenaza especfica podra ser. Los escenarios deben de ser extremadamente confidenciales. Ejemplos: 1. Crear equipos de penetracin de instalaciones, cuyo trabajo es simular terroristas e intentar penetrar una estacin de energa nuclear. 2. Considerar lo que un terrorista pudiera hacer para interrumpir un evento
RiskMgmnt

3.4.3 Anlisis de Puntos de Control
En 1972, IBM y otras empresas participaron en un gran estudio sobre la seguridad de datos conocido como SAFE (Security and Audit Field Evaluation). Un resultado de este estudio ha sido la identificacin de Puntos de Control relacionados con los datos en cualquier sistema de informacin. Mientras que la tcnica es relativamente limitada a datos en un sentido clsico, es una manera til de enfocar la necesidad para limitar la infinidad de posibles amenazas. El estudio SAFE identific 11 Puntos de Control.
RiskMgmnt

PUNTOS DE CONTROL
(Identificados en el Estudio SAFE)
PC1: Recoleccin de Datos

La creacin y transportacin manual de datos
PC2: Movimientos de Entrada de Datos

El movimiento manual de documentos fuente al rea de Entrada de Datos en la cual los documentos fuentes son convertidos a una forma legible por la mquina.
PC3: Conversin de Datos

La conversin fsica de los documentos fuente iniciales a una forma legible por la mquina.
PC4: Comunicacin de Datos (Entrada)

La transmisin de datos legibles por la mquina. Lic. Jos Miguel Sandoval Gonzlez
Septiembre/2002
RiskMgmnt

PC5: Recepcin de Datos
La recepcin y almacenamiento de datos va medios manuales o de comunicaciones.
PC6: Proceso de Datos

La ejecucin de los programas de aplicacin para desarrollar los clculos pretendidos y sus resultados
PC7: Preparacin de Datos (Salida)

La preparacin de los medios de salida de datos tales como discos, diskettes, microfilms, etc., para ser distribuidos a los usuarios.
PC8: Movimiento de Salida de Datos.

El movimiento manual de salida producida por computadora, en varias formas, al rea de salida para esperar que los usuarios la recojan. Lic. Jos Miguel Sandoval Gonzlez
Septiembre/2002
RiskMgmnt

PC9: Comunicacin de Datos (Salida)
La transmisin directa y/o entrega de salida al usuario
PC10:
Uso de los Datos

El uso de los datos por el receptor, incluyendo el almacenamiento o ubicacin de los datos mientras se usan.
PC11:
Disposicin de Datos
La disposicin de los datos despus del perodo de uso, incluyendo los mtodos y localidades de almacenamiento, cantidad de tiempo almacenado y su disposicin final conforme sea apropiada.
Lic. Jos Miguel Sandoval Gonzlez
Septiembre/2002
RiskMgmnt

3.4.6. Fuentes Externas a la Organizacin.
Algunas fuentes especficas para obtener datos estadsticos sobre amenazas son:
Septiembre/2002
SRI. DPMA. ISSA. NCCCD.
Standford Research Institute Data Processing Management Association Information Systems Security Association National Center for Computers Crime Data
Compaas de Seguros Statistics from Canada for such things as fire loss data U.S. Geological Survey for earthquake risk areas National Weather bureaus for weather risk data

3.4.6. Fuentes Externas a la Organizacin ...cont.
- Federal Bureau of Investigation (FBI) - Departamentos de Polica, Bomberos - U.S. Federal Information Processing Standards - Electronics Data Processing Security Standards and Practices for Departments and Agencies of the Government of Canada - Computer Security Institute (publicaciones) - Datapro Publications Computer Security Reference - Data Processing Management Association Special Interest Group for Computer Security (DPMA SIG - CS) publications
RiskMgmnt

3.5 Elaborar la Matriz de Activos VS Amenazas
Amenazas
7 Intencional
Accidental
Interrupcin
Revelacin
Revelacin
Remocin

Remocin
Activo
Interrupcin
Destruccin
Destruccin
Corrupcin
Corrupcin
Costo Total del Riesgo
RiskMgmnt

CONCEPTOS DE PROBABILIDAD
Annualized Loss Multiplier Table
Frecuencia Subjetiva
Nunca Una vez en 300 aos Una vez en 200 aos Una vez en 100 aos Una vez en 50 aos Una vez en 25 aos Una vez en 5 aos Una vez en 2 aos Anualmente Dos veces al ao Cuatro veces al ao Una vez al mes Dos veces al mes Una vez a la semana Una vez al da Dos veces al da Diez veces al da Una vez cada hora Una vez cada minuto
Septiembre/2002
Equivalente Fraccionario
1/300 1/200 1/100 1/50 1/25 1/5 1/2 1/1 1/.5 1/.25 12/1 12/.5 52/1 365/1 365/.5 265/.1 8760/1 Lic. Jos Miguel Sandoval Gonzlez 525,600/1
Costo/Multiplicador de Prdida
0.0 0.00333 0.005 0.01 0.02 0.04 0.20 0.50 1.0 2.0 4.0 12.0 24.0 52.0 365.0 730.0 3,650.0 8,760.0 525,600.0
RiskMgmnt

3.6 Determinar el Impacto Financiero, la Probabilidad de Ocurrencia y calcular el Riesgo por cada relacin Activo-Amenaza
DETERMINAR IMPACTO FINANCIERO $ VARIABLE 10 U=1 100 U=2 1,000 U=3 10,000 U=4 100,000 U=5 1'000,000 U=6 10'000,000 U=7 100'000,000 U=8 1,000'000,000 U=9
DETERMINAR PROBABILIDAD DE OCURRENCIA FRECUENCIA VARIABLE Una vez en 300 aos P=1 Una vez en 30 aos P=2 Una vez en 3 aos P=3 Una vez cada 100 das P=4 Una vez cada 10 das P=5 Una vez por da P=6 Diez veces por da P=7 Cien veces por da P=8
CALCULAR EL VALOR DEL RIESGO

RIESGO = (IMPACTO FINANCIERO) (PROBABILIDAD DE OCURRENCIA)
( P + U - 3)
10 R = ---3
RiskMgmnt

DETERMINACION DE RIESGO ANUAL
IMPACTO DE EVENTOS EN $ FRECUENCIA ESTIMADA DE OCURRENCIAS
10 100 1.000 10.000 100.000 1'000,000 10'000,000,
ser ser ser ser ser ser ser
U U U U U U U
= = = = = = =
1 2 3 4 5 6 7
Una vez en 300 aos Una vez en 30 aos Una vez en 3 aos Una vez cada 100 das Una vez cada 10 das Una vez por da Diez veces por da Cien veces por da
ser ser ser ser ser ser ser ser
P P P P P P P P
= = = = = = = =
1 2 3 4 5 6 7 8
VALORES DE P
VALORES DE U
1 1 2 3 4 5 6 7 2 3 4 300 3K 30K 300K 3M 30M 5 300 3K 30K 300K 3M 30M 300M 6 3K 30K 300K 3M 30M 300M 7 30K 300K 3M 30M 300M 8 300K 3M 30M 300M
300 3K 30K
300 3K 30K 300K
300 3K 30K 300K 3M
Lic. Jos Miguel Sandoval Gonzlez VALORES DE E EN $ / AO Septiembre/2002

RiskMgmnt

10 100 1.000 10.000 100.000 1'000,000 10'000,000

1 1 2 3 4 5 6 7
U U U U U U U
2
= = = = = = =
1 2 3 4 5 6 7
3 4
5 300 3K 30K 300K 3M 30M 300M 6 3K 30K 300K 3M 30M 300M

7 30K 300K 3M 30M 300M
P P P P P P P P
= = = = = = = =
1 2 3 4 5 6 7 8
VALORES DE P
VALORES DE U
300 3K 30K
300 3K 30K 300K
300 3K 30K 300K 3M
300 3K 30K 300K 3M 30M
8 300K 3M 30M 300M
VALORES DE Sandoval E EN Gonzlez $ / AO Lic. Jos Miguel

Septiembre/2002
RiskMgmnt

10 100 1.000 10.000 100.000 1'000,000 10'000,000

1 1 2 3 4 5 6 7
U U U U U U U
2
= = = = = = =
1 2 3 4 5 6 7
3 4
5 300 3K 30K 300K 3M 30M 300M 6 3K 30K 300K 3M 30M 300M

7 30K 300K 3M 30M 300M
P P P P P P P P
= = = = = = = =
1 2 3 4 5 6 7 8
VALORES DE P
VALORES DE U
300 3K 30K
300 3K 30K 300K
300 3K 30K 300K 3M
300 3K 30K 300K 3M 30M
8 300K 3M 30M 300M
VALORES DE Sandoval E EN Gonzlez $ / AO Lic. Jos Miguel

Septiembre/2002
RiskMgmnt

HOJA DE TRABAJO DE ANALISIS DE RIESGO
ACCIDENTAL
MODIFICACION DIVULGACION DESTRUCCION
INTENCIONAL
MODIFICACION DIVULGACION DESTRUCCION
SISTEMA / NOMBRE DEL ARCHIVO PAYMASDATA PAYPERMAST PAYBONDUCI PAYNAMADDI PAYDETERMI PAYPERCHSS PAYEONCHES PAYNAMCHES PAYDATCHE PAYCLNDATA PAYMILMEAL PAYTRANERR PAYOUTORD PAYOURDATA
RIESGO POR LA INCAPACIDAD DE PROCESAR POR: 8 H O 16 R A 24 S 36 48 72
5 3 3. 3K
4 3 3. 3K 2 6 3. 3K 2 4 0. 3K 2 4 0. 3K 2 6 3 3K 2 6 33K 2 4 0. 3K 2 4 0. 3K 4 3 3.3K 3 4 3.3K
4 2 0. 3K 4 2 0. 3K
3K
3 33K
4 2 0. 3K 6 2 3. 3K 3 3K 5 3 33K 5 3 33K 4
*2 4 0. 3K 4 4 2 *2 4 0. 3K *3 4 0.3K
*2 4 0. 3K
*3 4 3. 3K
*3 3 0. 3K *3 3 0. 3K *4 3 3K 3 3K
*4 3 3. 3K *4 3 3. 3K *5 3 33K *5 3 33K
*4 3 * Proceso de Actualizacin 3.3 K Paso 1 *4 3 3. 3K *5 3 * Proceso de Verificacin Paso 2 * Proceso de Calculo Paso 3 * Proceso de Salida Paso 4
COMENTARIOS
0. 3K
2 0. 3K
*2 4 0. 3K *3 4 3K
*3 4 3. 3K *3 4 3K 4 3K
33K
2 0 .3K 4 2 0 .3K
3 3.3K 5 3 3.3K
2 6 33K 3 4 3.3K
3K
3 3K 4 2 0 .3K 5 3 33K 4 3 3K 4 3 3K 5 4 5 3 333K 33K 5 3 5 3 33K 33K
4 2 0. 3K
*3 4 *3 4 0.3K 3K
*3
*4
*5
33K
2 0 .3K 4 2 0 .3K 4
2 0 .3K 6 2 33K

RiskMgmnt

3.7 Definir las Medidas de Proteccin (Estrategias y Controles) Componentes Esenciales de la Seguridad
M I A D N I E D D P A AD D E D F A D I
S E G UR ID E S GUR S E GU R I I
Seguridad Comunicaciones, Proceso de Datos, Tcnica
R A T I V A T O N A L S S C A
ACTIVO
El concepto de Anillos de Proteccin Lic. Jos Miguel Sandoval Gonzlez

Septiembre/2002
RiskMgmnt

3.7 Definir las Medidas de Proteccin (Estrategias y Controles)
ESTRATEGIAS 1. Evitar el Riesgo 2. Partir (Dividir) el Objetivo 3. Colocar el Activo en una posicin altamente visible 4. Ocultar el Activo 5. Combinar varios activos 6. Uso de mltiples estrategias. Anillos de Proteccin
Tipos de controles : Proteccin, Deteccin, Reaccin

Controles Preventivos Controles Detectivos Controles Correctivos
RiskMgmnt

3.8 Desarrollar el Anlisis Beneficio-Costo de las Medidas de Proteccin
Analizar si los Costos de las Medidas de Proteccin son ms Costo - Efectivos que un seguro, tomando en cuenta los siguientes costos:
Septiembre/2002
Costo de Adquisicin Costo de Desarrollo Costo de Adaptacin Costo de Mantenimiento Costo de Educacin Otros Costos

3.9 Determinar la Factibilidad Tcnica, Econmica y Operacional de la implementacin de las Medidas de Proteccin
3.10 Probar, Implementar y Evaluar las Medidas de Proteccin

Septiembre/2002
Utilizar Tcnicas de Planeacin de Proyectos Asegurar Funcionamiento Efectuar correcciones y adaptaciones pertinentes Emplear buenas prcticas gerenciales Verificar resultados Certificar implementacin

Paquetes Automatizados para el Anlisis de Riesgos
1. BDSS (Bayesian Decision Support System) Ozier, Perry & Associates San Francisco CA. CAPARS (Computer Assets Protection and Risk Reduction Systems) The Concorde Group, Inc. Houston, TX. 1ST/RAMP ( Risk Analysis & Management Program) International Security Technology, Inc. Reston, VA. RA/SYS Nander Brown Reston, VA. QUIKRISK Basic Data Systems, Inc. Rockville, MD. Lic. Jos Miguel Sandoval Gonzlez
RiskMgmnt
6. The Risk Analysis Machine Basic Data Systems, Inc. 7. RISKA Chesapeake Computer Group Danville, CA..
2.
3.
8. RISKCALC Profile Analysis Corporation Ridgefield, CT
4.
9. RISKPAC (Anlisis Cualitativo) Profile Analysis Corporation Ridgetfield, CT
5.
Septiembre/2002

ipnRiskMgmnt 03

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

ipnRiskMgmnt 03

Transféré par

Droits d'auteur :

Formats disponibles

Esta presentacin, en su formato y contenido, es propiedad intelectual de la Asociacin Latinoamericana de Profesionales en Seguridad Informtica, A.C.

Lic. Jos Miguel Sandoval Gonzlez Septiembre/2002

Lic. Jos Miguel Sandoval Gonzlez Septiembre/2002

Lic. Jos Miguel Sandoval Gonzlez Septiembre/2002

1. Introduccin a Risk Management

1. Introduccin a Risk Management

1. Introduccin a Risk Management

1. Introduccin a Risk Management

Cul es el Valor del Riesgo ?

1. Introduccin a Risk Management

1. Introduccin a Risk Management

1. Introduccin a Risk Management

Probabilidad de Ocurrencia = 0.003/Ao Valor del Riesgo = $ 450,000 U.S.D. /Ao

Lic. Jos Miguel Sandoval Gonzlez Septiembre/2002

1. Introduccin a Risk Management

Tolerar el Riesgo Reducir el Costo de Prdida

Reducir la Probabilidad de Ocurrencia

REGLA: Costo de Proteccin <= (Costo de Prdida)(Probabilidad)

2. Definiciones y Anlisis de Conceptos

Lic. Jos Miguel Sandoval Gonzlez Septiembre/2002

2. Definiciones y Anlisis de Conceptos

2. Definiciones y Anlisis de Conceptos

2. Definiciones y Anlisis de Conceptos

2. Definiciones y Anlisis de Conceptos

Lic. Jos Miguel Sandoval Gonzlez Septiembre/2002

2. Definiciones y Anlisis de Conceptos

2. Definiciones y Anlisis de Conceptos

2. Definiciones y Anlisis de Conceptos

Lic. Jos Miguel Sandoval Gonzlez Septiembre/2002

2. Definiciones y Anlisis de Conceptos

2. Definiciones y Anlisis de Conceptos

2. Definiciones y Anlisis de Conceptos

3. Metodologa de Risk Mgmt

3. Metodologa de Risk Mgmt

3.10 Probar, Implementar y Evaluar las Medidas de Proteccin

3. Metodologa de Risk Mgmt

Obtener el Compromiso y Soporte de la Alta Gerencia

3. Metodologa de Risk Mgmt

3. Metodologa de Risk Mgmt

3. Metodologa de Risk Mgmt

Consola del Operador

Lic. Jos Miguel Sandoval Gonzlez RiskMgmnt

3. Metodologa de Risk Mgmt

3. Metodologa de Risk Mgmt

3. Metodologa de Risk Mgmt

3. Metodologa de Risk Mgmt

3. Metodologa de Risk Mgmt

Valor en US Dlares $ 1 o menos hasta $10 $100 $1,000 $10,000 . $100000,000

En esta escala, el nmero asignado se basa en una potencia de 10.

3. Metodologa de Risk Mgmt

3. Metodologa de Risk Mgmt

Valor en libros Depreciacin acumulada

Costo de Reemplazo (Valor actual en el mercado)

(Valor para el dueo u organizacin y valor para el criminal)

Prdida de disponibilidad Mtodos de Estimacin

3. Metodologa de Risk Mgmt

3. Metodologa de Risk Mgmt

3. Metodologa de Risk Mgmt

3. Metodologa de Risk Mgmt

3. Metodologa de Risk Mgmt

3. Metodologa de Risk Mgmt

PC1: Recoleccin de Datos

PC2: Movimientos de Entrada de Datos

PC3: Conversin de Datos