Académique Documents
Professionnel Documents
Culture Documents
atica
Seguridad Informatica
Analsis de Riesgo
Francisco Medina L
opez correo@franciscomedina.net
http://seguridad.franciscomedina.net
16 de agosto de 2012
Seguridad Inform
atica
Objetivo
Objetivo
1 Introducci
on
Definiciones
Administracion del Riesgo
2 An
alisis de Riesgo
Aspectos generales
Pasos para realizar un analisis de riesgo
3 Conclusiones
Seguridad Inform
atica
Introducci
on
Definiciones
1 Introducci
on
Definiciones
Administracion del Riesgo
2 An
alisis de Riesgo
3 Conclusiones
Seguridad Inform
atica
Introducci
on
Definiciones
Que es seguridad?
Seguridad Inform
atica
Introducci
on
Definiciones
Que es seguridad?
Que es informatica?
Seguridad Inform
atica
Introducci
on
Definiciones
Que es seguridad?
Que es informatica?
Que entendemos por seguridad informatica?
Seguridad Inform
atica
Introducci
on
Definiciones
Activo
Definicion
Recursos que estan tratando de proteger
Vulnerabilidad
Definicion
Cualquier debilidad que puede explotarse para causar perdida o
da
no al sistema.
Amenaza
Definicion
Evento o circunstancia cuya ocurrencia podra impactar en forma
negativa a una organizaci
on.
Categorias de Amenazas
1 Naturales
2 Causados por el hombre
Intencionales
No intencionales
Seguridad Inform
atica
Introducci
on
Definiciones
Riesgo
Definicion
Probabilidad de que un agente de amenaza explote una
vulnerabilidad, en combinaci
on con el impacto que esto ocasiona.
Contramedidas o Controles
Definicion
Ejemplos:
Contrase
nas robustas.
Mecanismos de control de acceso.
Antivirus
Tipos de Controles
Controles Administrativos
Administracion de responsabilidades necesarias para proteger
los activos.
Controles Suaves. (Polticas, procedimientos, guas, estandares)
Controles T
ecnicos.
Mecanismos l
ogicos de protecci
on.
Software o Hardware
Controles Fsicos
Destinados a proteger las instalaciones.
Seguridad Inform
atica
Introducci
on
Definiciones
Fuente: Shon Harris, CISSP All-In-One Exam Guide, McGraw-Hill Professional, 2007, p. 63
Seguridad Inform
atica
Introducci
on
Definiciones
Fuente: Shon Harris, CISSP All-In-One Exam Guide, McGraw-Hill Professional, 2007, p. 63
Seguridad Inform
atica
Introducci
on
Administraci
on del Riesgo
1 Introducci
on
Definiciones
Administracion del Riesgo
2 An
alisis de Riesgo
3 Conclusiones
Seguridad Inform
atica
Introducci
on
Administraci
on del Riesgo
Introduccion
1 Introducci
on
2 An
alisis de Riesgo
Aspectos generales
Pasos para realizar un analisis de riesgo
3 Conclusiones
Seguridad Inform
atica
An
alisis de Riesgo
Aspectos generales
Definicion
Analisis de Riesgo
Identificacion de vulnerabilidades y amenazas, analisis de
probabilidad de ocurrencia e impacto y analisis de las medidas para
aceptar, evitar o transferir el riesgo.
1 Introducci
on
2 An
alisis de Riesgo
Aspectos generales
Pasos para realizar un analisis de riesgo
3 Conclusiones
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo
Identificacion de Activos
Tangibles
Datos
Software
Computadoras, equipos de comunicaciones, cableado.
Intangibles
Privacidad
Seguridad y salud de los empleados
Imagen y reputaci
on
Continuidad de las actividades
Moral del empleado
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo
Valoracion de activos
Por qu
e es necesario el activo?
Operaciones y actividades que se veran afectadas si el recurso
no se encuentra disponible.
Responsabilidades en caso de que el recurso sea
comprometido.
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo
Analisis de controles
Definicion
El riesgo es una combinaci
on entre la probabilidad de ocurrencia y
el impacto.
An
alisis Cualitativo de Riesgos
Utiliza elementos de la organizaci on como opinion, mejores
practicas, intuici
on, experiencia, etc. para ponderar el riesgo y
sus componentes.
Aplicable a todas las situaciones
An
alisis Cuantitativo de Riesgos
Asigna valores monetarios (objetivos) a cada componente de la
evaluaci
on de riesgos y a cada potencial perdida.
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo
Definicion
El Analisis de Riesgo Cualitativo, a diferencia del Cuantitativo, es
un modelo basado en escenarios mas que en calculos.
1 Definicion de:
Niveles de probabilidad de ocurrencia de las amenazas
Niveles de impacto de las amenazas
Niveles de riesgo (en funci
on a las anteriores)
2 Clasificacion de las amenazas en cuanto a su probabilidad de
ocurrencia e impacto.
3 Estimacion del riesgo
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo
Fuente: http://protejete.wordpress.com/gdr_principal/matriz_riesgo/
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo
Definicion
Asigna valores monetarios a cada componente de la evaluacion de
riesgos y a cada potencial perdida.
Pasos:
1 Asignar valores a los activos.
2 Estimar la perdida potencial por cada amenaza.
3 Analizar las amenazas.
4 Estimar la perdida anual.
Seguridad Inform
atica
An
alisis de Riesgo
Pasos para realizar un an
alisis de riesgo
Reporte
Ejemplo de Reporte
Seguridad Inform
atica
Conclusiones
Resumen
Conclusiones
Seguridad Inform
atica
Referencias bibliogr
aficas
Referencias bibliograficas I
Steve Purser.
A Practical Guide to Managing Information Security, Artech
House.
Erik Banks
Practical Risk Management, Wiley.
Shon. Harris.
CISSP All-In-One Exam Guide, McGraw-Hill Professional.