Académique Documents
Professionnel Documents
Culture Documents
como objetivo primordial la evaluación de los riesgos que soportan los Sistemas de
Información. La gestión del riesgo para los Sistemas de Información, debe estar
riesgo-inversión.
únicamente por los expertos en tecnologías de la información sino que debe reflejar
1
La gestión de riesgos es un proceso de apoyo a la decisión; sus resultados
constituyen una guía para que la organización pueda tomar decisiones sobre si es
de Resultados.
2
Entradas Fases Salidas
Hardware Hardware
Software Software
Interfaces del Sistema Caracterización del Sistema Interfaces del
Datos e Información Sistema
Recurso Humano Datos e Información
Misión del Sistema del Personas
Información Misión del Sistema
Identificación de Vulnerabilidades
Reportes previos de las
evaluación de riesgos Lista de vulnerabilidades
Comentarios de auditoria potenciales
Requerimientos de Seguridad
Resultados de Evaluación de
seguridades
Fuentes de Motivación de
Amenazas Índice de probabilidad
Vulnerabilidades
Controles Actuales
Determinación de Probabilidad
Probabilidad de la
explotación de una amenaza Riesgos y niveles
Magnitud del impacto asociados al riesgo
Suficiencia de controles
Determinación del Riesgo
planeados o actuales
3
Documentación de Resultados Reportes de evaluación
del Riesgo
4
2.1.1.2 - Fases de la Evaluación de Riesgo según la guía metodológica NIST
SP 800-30
En la evaluación de
evaluación dentro de la
diariamente.
riesgo.
5
documento puede ser aplicada a la evaluación de sistemas individuales o
interés, todas las interfaces y dependencias deban ser bien definidos antes de la
aplicación de la metodología.
• Hardware y Software.
• Datos e información.
• Misión de sistema
• Los usuarios del sistema (por ejemplo, los usuarios del sistema que
20
Sensibilidad de datos se refiere al nivel de protección requerida para mantener en el sistema la integridad,
confidencialidad y disponibilidad de la información.
6
aplicación que usan el sistema de información para realizar funciones de
negocio).
confidencialidad.
métodos de cifrado).
estándar).
7
• El entorno de seguridad físico del sistema de información (por ejemplo,
químicas).
información del entorno del sistema puede ser obtenida del documento de
requerimientos o de diseño.
documentado o no.
8
Técnicas para la obtención de la Información:
límite operacional:
información.
de información funcionará.
9
Revisión de Documentación: Otra de las técnicas es la revisión de
puede proporcionar una mejor visión sobre los controles de seguridad usados y
ser usados para recoger la información del sistema de manera eficiente. Por
Documentación de Resultados.
sistema.
10
Fase de Identificación de Amenazas
Una amenaza es un
producir un incidente en la
organización,
provocando daños
materiales o pérdidas
ningún riesgo cuando no hay ninguna vulnerabilidad que pueda ser ejercida. Una
controles
11
información. Las fuentes de amenazas comunes pueden ser naturales,
humanas, o ambientales.
del sistema.
• Una fuente de amenaza involuntaria, pero sin embargo perjudicial son los
12
• Ataques deliberados como la escritura de un caballo de Troya para violar la
personas, sus posibles motivaciones y los métodos o acciones por las cuales
13
Tabla 2.1: Amenazas comunes relacionadas con personas
14
hacen más frecuentes. El gobierno y las organizaciones de industria
Protección de Infraestructura)
de las fuentes de amenaza que podrían explotar las vulnerabilidades del sistema.
El análisis de las
amenazas en un sistema
de información debe
vulnerabilidades
15
La tabla 2.2 explica ejemplos de vulnerabilidades relacionadas a las fuentes
Las mismas que podrían ser usadas intencionalmente o por casualidad para
21
En los sistemas del tratamiento de la información, la seguridad es más eficaz y eficiente si está planeada y manejada a
través de un ciclo vital del sistema informático, desde el planeamiento inicial, diseño, ejecución, operación y disposición.
16
del sistema, y los análisis de productos de seguridad desarrollados y vendidos
17
Fuentes de Vulnerabilidad
sistema.
18
Métodos para identificar las vulnerabilidades
• Pruebas de Penetración.22
como una vulnerabilidad en el sistema de TI. Sin embargo, debemos añadir, que
contexto del entorno del sistema. Por ejemplo, algunas de estas herramientas de
22
EL NIST SP 800-42, Network Security Testing Overview, describe la metodología para pruebas del sistema de red y el
empleo de herramientas automatizadas.
19
señaladas por el software de exploración en realidad no son consideradas como
de la industria.
20
Permitirá de esta manera probar el sistema de información e identificar fuentes
sistema de información.
presentados utilizando una tabla, con cada requerimiento acompañado por una
• Gerencial
• Operacional
• Técnica
21
Tabla 2.3: Lista de Comprobación de Requerimientos
requerimientos de seguridad.
22
Las fuentes para el desarrollo de la lista de requerimientos no son limitadas
• CSA de 1987
• Prácticas de industria.
vulnerabilidades potenciales.
vulnerabilidades del sistema que podrían ser ejercidas por las fuentes de
amenaza potenciales.
23
Fase de Análisis de Controles
reducir al mínimo la
Métodos de Control
24
Categorías de Control
Las categorías de control tanto para métodos de control técnicos como para
el cumplimiento de seguridad.
25
Fase de Determinación de la Probabilidad
Para obtener la
potencial vulnerabilidad
un ambiente de
controles actuales.
La probabilidad que una vulnerabilidad potencial podría ser ejercida por una
fuente de amenaza dada puede ser descrita como alta, media, o baja. La Tabla
26
El resultado de la Determinación de la Probabilidad de una vulnerabilidad
Dentro de la medición
importante determinar el
impacto adverso,
resultado de la ejecución
sobre la organización.
27
Un evaluación de los activo críticos identifica y prioriza la sensibilidad del
información.
28
Si la pérdida de la integridad del sistema o de los datos no es corregida, seguida
sistema o la confidencialidad.
requerido para corregir problemas causados por una acción de una amenaza
acertada.
29
Tabla 2.5: Descripción de la magnitud de Impacto
que este prioriza los riesgos e identifica áreas para la mejora inmediata de la
30
La ventaja principal de un análisis de impacto cuantitativo consiste en que este
de amenaza.
El objetivo de este
paso es de evaluar el
nivel de riesgo en el
sistema de información.
La determinación de
31
amenaza/vulnerabilidad particular puede ser expresada como una función de:
exitosamente.
Para medir el riesgo, debe desarrollarse una escala de riesgo y una matriz
de nivel de riesgo.
anterior. Esta escala de riesgo, con sus posiciones de los Altos, Medio, y Bajo,
32
Tabla 2.6: Descripción del Nivel de Riesgo
del proceso, se
proporcionan los
riesgos identificados.
33
• Opciones recomendadas de eficacia (por ejemplo, compatibilidad de
sistema)
• Legislación y regulación
• Política de organización
• Impacto operacional
• Seguridad y fiabilidad.
Debería ser notado que no todos los controles recomendados pueden ser
puestos en práctica para reducir la pérdida. Para determinar que los controles
beneficio debería ser conducido se debería demostrar que los gastos de poner
en práctica los controles pueden ser justificados por la reducción del nivel de
riesgo.
34
Fase de Documentación de Resultados
evaluación de riesgo ha
sido completada
(fuentes de amenaza y
vulnerabilidades
identificadas, controles
no debe ser presentado en una manera acusatoria, más bien debe tener un
dirección entienda los riesgos y asigne recursos para reducir y corregir pérdidas
evaluación de riesgo.
35
k
36
37
164