Escolar Documentos
Profissional Documentos
Cultura Documentos
METODOLOGA OWASP
About Me
alvaro_machaca@hotmail.com
alvaro.machaca@bo.ey.com
https://bo.linkedin.com/pub/alvaro-machaca-tola/42/85b/7
Riesgos en la Empresa
Riesgos
Operacionales
Riesgos
Estratgicos
Riesgos
relacionados
con TI
Riesgos de
Mercado
Riesgos de
Crdito
Riesgo Tecnolgico
Es la probabilidad de sufrir
prdidas por cadas o fallos
en los sistemas informticos o
transmisin de datos, errores
de programacin u otros,
siendo un componente del
riesgo operativo.
Fuente: ASFI 207/13 Dic/2013 Directrices Bsicas
para la Gestin del Riesgo Operativo
Riesgos Materializados
Riesgos en Aplicaciones
Los
atacantes
pueden
usar
potencialmente rutas diferentes a
travs de la aplicacin para hacer
dao al negocio u organizacin,
estas rutas representan un riesgo
que
puede,
o
no,
ser
lo
suficientemente grave como para
justificar la atencin.
Fuente: OWASP Top 10
Identificar el Riesgo
El primer paso es identificar un
riesgo de seguridad que necesita
ser tratado:
Identificar
vulnerabilidades
que
pueden ser explotados por los
agentes de amenaza.
Estimar la Probabilidad
ALTA
Una
vez
identificados
riesgos, debe estimarse:
los
Vulnerabilidad que si es
explotada comprometera
la seguridad de la
informacin ocasionando
un impacto negativo sobre
la empresa. Debe
solucionarse
inmediatamente.
MEDIA
Vulnerabilidad que si es
BAJA
Vulnerabilidad que si es
explotada no ocasionara
mayores inconvenientes.
Su solucin no
necesariamente ser
inmediata.
explotada tendra un
impacto leve sobre la
operativa del negocio.
Puede solucionarse en
un tiempo prudente.
Agentes de Amenaza
Penetration tester (1)
Redes y Programacin (3)
Usuario avanzado en computacin
(4)
Habilidades tcnicas medias (6)
No cuenta con habilidades
tcnicas (9)
Habilidades
Tcnicas
Motivacin
Oportunidad
Tamao
* Desarrolladores (2)
Administradores de sistemas (2)
Usuarios internos (4)
Socios de negocio (5)
Usuarios autenticados (6)
Annimos (9)
Vulnerabilidades
Dificultad alta (1)
Dificultad media (3)
Sencilla (7)
Herramientas automatizadas
disponibles (9)
Desconocido (1)
Medianamente conocido (4)
Comn (6)
De conocimiento pblico (9)
Complejo (1)
Dificultad media (3)
Sencilla (5)
Herramientas automatizadas
disponibles (9)
Facilidad de
Descubrimiento
Facilidad de
Explotacin
Conciencia o
Conocimiento
Detectores de
Intrusin
Deteccin activa en la
aplicacin (1)
Autenticado y monitoreado (3)
Autenticado sin monitoreo (8)
No autenticado (9)
Estimar el Impacto
Cuando
una
amenaza
es
materializada,
deben
considerarse dos tipos de
impacto:
Impacto Tcnico.
Impacto Tcnico
Mnima (data no critica) (2)
Mnima (data critica) (6)
Considerable (data no critica) (6)
Considerable (data critica) (7)
Corrupcin de datos total (9)
Prdida de
Integridad
Prdida de
Disponibilidad
Prdida de
Auditabilidad
Impacto en el Negocio
Menor que el costo de la solucin
total (1)
Efecto menor en el costo anual (3)
Efecto significante en el costo
anual (7)
Efecto devastador (bancarrota) (9)
Mnimo (2)
Medio (5)
Alto (7)
Dao
Econmico
Dao de
Imagen
No
cumplimiento
Violacin a la
Privacidad
Variables de agentes
de amenaza
y
Variable de factores
de vulnerabilidad
Variables de Impacto
sobre el negocio
Resultado
http://paradoslabs.nl/owaspcalc/
GRACIAS