Escolar Documentos
Profissional Documentos
Cultura Documentos
Telemticas
Anlisis y Gestin de
Riesgos
Seguridad Informtica I
Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
hay
dispuestas
cun
Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
1. Caracterizacin de Activos
La primera etapa del anlisis de riesgos es la
realizacin
de
un
inventario
de
activos,
entendiendo por activo segn MAGERIT: los
recursos del sistema de informacin o
relacionados con ste, necesarios para que la
Organizacin
funcione
correctamente
y
alcance los objetivos propuestos por su
direccin. Dicho de otro modo, los activos crticos
estn formados por todos los activos que se
consideran de importancia para el negocio de la
organizacin.
Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
1. Caracterizacin de Activos
El activo esencial: informacin (datos)
-
Los servicios
Las aplicaciones informticas (software)
Los equipos informticos (hardware)
Los soportes de informacin
El equipamiento auxiliar
Las redes de comunicaciones
Las instalaciones
Las personas
Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
1. Caracterizacin de Activos
La segunda etapa del anlisis de riesgos dentro de la
caracterizacin de activos supone establecer las dependencias
entre los distintos activos de un modo jerarquizado, evaluando
el grado de vinculacin entre activos y en funcin de los
parmetros
disponibilidad,
integridad,
confidencialidad,
autenticidad y trazabilidad
Para llevar a cabo la definicin de dependencias la metodologa
magerit propone una estructura de 5 capas, las cuales se
identifican a continuacin empezando por la inferior:
1. Entorno: equipamiento auxiliar, personal y
edificios.
2. Sistema
de
informacin: hardware,
software, comunicaciones y soportes.
3. Informacin: Datos.
4. Funciones de la organizacin: Servicios
finales.
5. Otros activos: Imagen, know how, etc.
Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
1. Caracterizacin de Activos
capa 1: el entorno: activos que se precisan para garantizar
las siguientes capas
equipamiento y suministros: energa, climatizacin,
comunicaciones
personal: de direccin, de operacin, de desarrollo, etc.
otros: edificios, mobiliario, etc.
capa 2: el sistema de informacin propiamente dicho
equipos informticos (hardware)
aplicaciones (software)
comunicaciones
soportes de informacin: discos, cintas, etc.
capa 3: la informacin
datos
meta-datos: estructuras, ndices, claves de cifrado, etc.
Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
1. Caracterizacin de Activos
capa 4: las funciones de la Organizacin, que justifican
la existencia del sistema de informacin y le dan finalidad
objetivos y misin
bienes y servicios producidos
capa 5: otros activos
credibilidad o buena imagen
conocimiento acumulado
independencia de criterio o actuacin
intimidad de las personas
integridad fsica de las personas
Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
1. Caracterizacin de Activos
Dimensiones
su autenticidad: qu perjuicio causara no saber
exactamente quien hace o ha hecho cada cosa?
su confidencialidad: qu dao causara que lo
conociera quien no debe?
su integridad: qu perjuicio causara que
estuviera daado o corrupto?
su disponibilidad: qu perjuicio causara no
tenerlo o no poder utilizarlo?
la trazabilidad del uso del servicio: qu dao
causara no saber a quin se le presta tal servicio?
la trazabilidad del acceso a los datos: qu dao
causara no saber quin accede a qu datos y qu
hace con ellos?
Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
1. Caracterizacin de Activos
Valoracin
Factores
Dao a personas.
Daos medioambientales.
Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
1. Caracterizacin de Activos
VALORACIN
- Cuantitativa (con una cantidad numrica).
- Cualitativa (en alguna escala de niveles)
Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
2. CARACTERIZACIN DE AMENAZAS
Una vez finalizada la parte de activos, se debe en primer
lugar identificar las amenazas que afectan a los activos.
Una vez identificadas las amenazas, se debe establecer
la valoracin de las amenazas, mediante los siguientes
dos parmetros:
degradacin: cun perjudicado resultara el activo.
frecuencia: cada cunto se materializa la amenaza.
Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
3. CARACTERIZACIN DE SALVAGUARDAS
Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
3. CARACTERIZACIN DE SALVAGUARDAS
Anlisis de Riesgos
A
N
A
L
I
S
I
S
4. DETERMINAR EL IMPACTO
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
5. DETERMINAR EL RIESGO
Se denomina riesgo a la medida del dao probable sobre un
sistema. Conociendo el impacto de las amenazas sobre los
activos, es posible obtener el riesgo sin ms que tener en
cuenta la probabilidad de ocurrencia.
Riesgo acumulado: Es el calculado sobre un activo teniendo
en cuenta:
El impacto acumulado sobre un activo debido a una
amenaza y,
La frecuencia de la amenaza.
Riesgo repercutido: Es el calculado sobre un activo
teniendo en cuenta:
El impacto repercutido sobre un activo debido a una
amenaza y,
La frecuencia de la amenaza.
Anlisis de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
Gestin de Riesgos
A
N
A
L
I
S
I
S
INTERPRETACIN
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
Gestin de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
SELECCIN DE SALVAGUARDAS
1. Establecer una poltica de la Organizacin al respecto:
directrices generales de quin es responsable de cada
cosa.
instrucciones paso
Gestin de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
EQUILIBRIO ENTRE:
Salvaguardas tcnicas: en aplicaciones, equipos y
comunicaciones.
Gestin de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
GRADO DE SEGURIDAD
Gestin de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
ESPECIFICACIONES TECNICAS
1. Anlisis mediante tablas
Estimacin del impacto
Gestin de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
ESPECIFICACIONES TECNICAS
1. Anlisis mediante tablas
Estimacin del riesgo
Gestin de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
ESPECIFICACIONES TECNICAS
2. Anlisis algortmico.
Un modelo cualitativo
Gestin de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
ESPECIFICACIONES TECNICAS
2. Anlisis algortmico.
Un modelo cuantitativo
Ejemplo.
Sea un activo valorado en 1.000.000, que es vctima de una amenaza que lo degrada un 90%.
El impacto es de cuanta
1.000.000 x 90% = 900.000
Si la frecuencia estimada es de 0,1, el riesgo es de cuanta
900.000 x 0,1 = 90.000
Si las salvaguardas tienen un 90% de eficacia sobre el impacto, el impacto residual es
900.000 x (1 0,9) = 90.000
Si las salvaguardas tienen un 50% de eficacia sobre la frecuencia, la frecuencia residual queda
en
0,1 x (1 0,5) = 0,05
El riesgo residual queda en
90.000 x 0,05 = 4.500
La eficacia combinada de las salvaguardas es
1 (1 90%) x (1 50%) = 95%
Si las cantidades son euros y las frecuencias anuales, la prdida posible es de 90.000 euros y la
prdida anual se estima en 4.500 euros.
Gestin de Riesgos
A
N
A
L
I
S
I
S
ESPECIFICACIONES TECNICAS
Tcnicas generales
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
Gestin de Riesgos
A
N
A
L
I
S
I
S
Y
G
E
S
T
I
O
N
D
E
R
I
E
S
G
O
S
GRAFICA DE ESTADO
.?