1 / 12

Análisis y gestión de riesgos en un S istema I nformático

Análisis y gestión de riesgos en un S istema I nformático. Samuel Moro Lorenzo. Contenido Recursos del sistema Amenazas Vulnerabilidades Incidencias de seguridad Impactos Riesgos Defensas, salvaguardas o medidas de seguridad Transferencia del riesgo a terceros. Resumen

terris
Download Presentation

Análisis y gestión de riesgos en un S istema I nformático

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Análisis y gestión de riesgos en un Sistema Informático Samuel Moro Lorenzo

  2. Contenido • Recursos del sistema • Amenazas • Vulnerabilidades • Incidencias de seguridad • Impactos • Riesgos • Defensas, salvaguardas o medidas de seguridad • Transferencia del riesgo a terceros

  3. Resumen Un proceso de gestión de riesgos comprende una etapa de evaluación previa de los riesgos del sistema informático, que se debe realizar con rigor y objetividad para que cumpla su función con garantías. Para ello, el equipo responsable de la evaluación debe contar con un nivel adecuado de formación y experiencia previa, así cómo disponer de una serie de recursos y medios para poder realizar su trabajo, contando en la medida de lo posible con el apoyo y compromiso de la Alta Dirección.

  4. Recursos del sistema • Los recursos son los activos a proteger del sistema informático de la organización. • Existen diferentes tipos de recursos a la hora de analizar y gestionar los riesgos: • Recursos hardware: Servidores, estaciones de trabajo, equipos, etc. • Recursos software: Sistemas operativos, herramientas ofimáticas, herramientas de gestión, etc. • Elementos de comunicaciones: Dispositivos de conectividad, switches, routers, etc. • Información que se almacena, procesa y distribuye. • Locales y oficinas donde se ubican los recursos físicos y desde los que acceden los usuarios finales. • Personas que utilizan los equipos. • Imagen y reputación de la organización.

  5. Amenazas • Se considera una amenaza a cualquier evento accidental o intencionado que pueda ocasionar algún daño en el sistema informático, provocando pérdidas materiales, financiera o de otro tipo a la organización • Existen dos maneras de estudiar las amenazas atendiendo bien a la clasificación de las mismas ó a la intencionalidad de ellas. • Clasificación principal de las amenazas: • Amenazas naturales: Inundación, incendio, tormentas, etc. • Amenazas de agentes externos: Virus informáticos, sabotajes terroristas, disturbios, etc. • Amenazas de agentes internos: Empleados descuidados con poca formación o descontentos, error en el uso de herramientas, uso del sistema, etc.

  6. Vulnerabilidades • Una vulnerabilidad es cualquier debilidad en el sistema informático que pueda permitir a las amenazas causarle daños y producir pérdidas en la organización. • Dichas vulnerabilidades se corresponden con fallos en sistemas físicos y/o lógicos, aunque también pueden tener su origen en los defectos de ubicación, instalación y mantenimiento de los equipos. • Las vulnerabilidades pueden estar ligadas a lo siguiente: • Aspectos organizativos. • Factor humano. • Equipos, programas, locales, condiciones ambientales en las que esta el sistema.

  7. Incidentes de seguridad Un incidente de seguridad es cualquier evento que tenga o pueda tener como resultado la interrupción de los servicios suministrados por un sistema informático y/o posibles pérdidas físicas, de activos o financieras. Es decir, se considera que un incidente es la materialización de una amenaza

  8. Impactos • El impacto es la medición y valoración del daño que podría producir a la organización un incidente de seguridad. • Para una correcta valoración del impacto es aconsejable tener en cuenta tanto los daños tangibles, cómo los daños intangibles (incluida la información). Para ello es necesario reunirse con los responsables de departamentos y evaluar el grado de impacto que podría tener en su ámbito de trabajo. • Existe una escala cuantitativa/cualitativa para medir el impacto del daño: • Impacto ALTO: Pérdida o inhabilitación de recursos críticos, interrupción de los procesos de negocio, daños en la imagen y reputación de la organización, etc. • Impacto MODERADO: Pérdida de recursos críticos pero que tienen elementos de respaldo, caída notable del rendimiento de los procesos de negocio, etc.. • Impacto BAJO: Pérdida o inhabilitación de recursos secundarios, disminución de los procesos de negocio, etc.

  9. Riesgos • El riesgo es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informático, causando un determinado impacto en la organización. • El nivel de riesgo viene determinado por análisis previo de vulnerabilidades, amenazas e impacto. • Existen varias metodologías para la evaluación de riesgos como por ejemplo: CRAMM, CCTA, MARGERIT, MARION, MELISA, OCTAVE, RiskWatch, COBRA, etc.

  10. Defensas, salvaguardas o medidas de seguridad • Una defensa, salvaguarda o medida de seguridad es cualquier medio empleado para eliminar o reducir un riesgo. Su objetivo es reducir las vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas y/o el nivel de impacto de la organización. • Una medida de seguridad activa es cualquier medida utilizada para anular o reducir el riesgo de una amenaza, está subdivididas en: medidas de prevención y medidas de detección. • Una medida de seguridad pasiva es cualquier medida empleada para reducir el impacto cuando se produzca un incidente de seguridad, también conocidas cómo medidas de corrección. • También podemos distinguir entre: • Defensas físicas: Medidas que implican el control de acceso físico a los recursos y las condiciones ambientales de los mismos. • Defensas lógicas:Protección conseguida mediante herramientas y técnicas informáticas; autenticación, control de acceso, etc.

  11. Por último cabe destacar el riesgo residual que se erige cómo un nivel de riesgo que se producirá sea cuales fueren las medidas de seguridad implantadas, si este nivel de riesgo es demasiado alto se deberán volver a evaluar y corregir las técnicas utilizadas.

  12. Transferencia del riesgo a terceros • Cómo alternativa a la implantación de una serie de medidas de seguridad, una organización también podría considerar la transferencia del riesgo a un tercero, ya sea mediante la contratación de una póliza de seguros especializada o bien a través de la subcontratación de un proveedor especializado en ofrecer determinados servicios de seguridad informática, así como otros tipos de servicios cómo pueden ser servidores FTP, DNS, SSH, etc.

More Related