análisis de riesgos y amenazas
TRANSCRIPT
-
8/4/2019 Anlisis de Riesgos y Amenazas
1/38
El significado de la vida no es la seguridad, lasgrandes oportunidades estn en los riesgos.Shirley Hufstedler
Secretaria de Educacin de Estados Unidos
@ivanwalkesmc
Por:
Ivn Walkes
-
8/4/2019 Anlisis de Riesgos y Amenazas
2/38
-
8/4/2019 Anlisis de Riesgos y Amenazas
3/38
- Riesgos en una Empresa segn su tipo
- Amenazas en una Empresa segn su tipo
- Ejemplos de riesgos
- Ejemplos de amenazas
- Diferencias entre Riesgo y Amenaza
Toda amenaza pierde mucho de su peligrocuando se han descubierto sus causas.Konrad Lorenz
uno de los padres de la etologa
-
8/4/2019 Anlisis de Riesgos y Amenazas
4/38
Activos: Recurso del sistema de informacin o
relacionado con ste, necesario para que la
organizacin funcione correctamente y alcance
los objetivos propuestos.
Vulnerabilidad: Definida como la potencialidad o
posibilidad de ocurrencia de materializacin deuna amenaza sobre un activo. Es una propiedad
de la relacin entre un Activo y una Amenaza.
-
8/4/2019 Anlisis de Riesgos y Amenazas
5/38
Amenaza: Las amenazas son agentes capaces deexplotar los fallos de seguridad que denominamospuntos dbiles y, como consecuencia de ello, causarprdidas o daos a los activos de una empresa,
afectando sus negocios.
Riesgo: El riesgo es la probabilidad de que lasamenazas exploten los puntos dbiles, causando
prdidas o daos a los activos e impactos al negocio, esdecir, afectando: La confidencialidad, la integridad y ladisponibilidad de la informacin.
-
8/4/2019 Anlisis de Riesgos y Amenazas
6/38
Impacto: Medir las consecuencias de una amenaza.
Mecanismo de Salvaguarda: Procedimientos o dispositivos,
fsicos o lgicos,", que reducen el riesgo.
Ataque: Evento, exitoso o no, que atenta sobre el buen
funcionamiento del sistema.
Desastre o Contingencia: Interrupcin de la capacidad de
acceso a informacin y procesamiento de la misma a travs de
computadoras necesarias para la operacin normal de
cualquier sistema.
-
8/4/2019 Anlisis de Riesgos y Amenazas
7/38
Existen dos tipos de riesgos que pueden presentarse enuna empresa, los cuales son: riesgos menores
riesgos mayores.
Los riesgos menores podemos definirlos, comoaquellos que no son susceptibles de afectarsignificativamente las operaciones de la organizacin,las consecuencias que realicen pueden ser financiadaspor esta misma; los riesgos mayores, son aquellos que
pudiendo materializarse con una probabilidadconsiderable, pueden traducirse en la paralizacin de laempresa o en una grave crisis financiera.
-
8/4/2019 Anlisis de Riesgos y Amenazas
8/38
Riesgos Mayor Beneficio Personal
Sndrome de Robin Hood (El empleado se siente explotado y poco a poco va robando informacin valiosa para la empresa y regalndosela a los
competidores menores que tiene la misma).
Odio a la Organizacin Equivocacin de ego
Deshonestidad del departamento
El empleado tiene una mentalidad turbada
Problemas financieros de algn individuo
Fcil modo de desfalco (El empleado roba o se apropia de los activos de gran valor sin que nadie se d cuenta en la organizacin).
Riesgos Menores
Incendios en la empresa.
Beneficio de la organizacin.
-
8/4/2019 Anlisis de Riesgos y Amenazas
9/38
Los activos estn constantemente sometidos a
amenazas que pueden colocar en riesgo laintegridad, confidencialidad y disponibilidad
de la informacin. Estas amenazas siempre
existirn y estn relacionadas a causas que
representan riesgos.
-
8/4/2019 Anlisis de Riesgos y Amenazas
10/38
Las mismas se podrn dividir en tres grandes grupos:
Amenazas naturales
Condiciones de la naturaleza y la intemperie que podrn causar daos a los activos,
tales como fuego, inundacin, terremotos.
Intencionales Son amenazas deliberadas, fraudes, vandalismo, sabotajes, espionaje,
invasiones y ataques, robos y hurtos de informacin, entre otras.
Involuntarias
Son amenazas resultantes de acciones inconscientes de usuarios, por virus
electrnicos, muchas veces causadas por la falta de conocimiento en el uso delos activos, tales como errores y accidentes.
Entre las principales amenazas, la ocurrencia de virus, la divulgacin de
contraseas y la accin de hackers estn entre las ms frecuentes.
-
8/4/2019 Anlisis de Riesgos y Amenazas
11/38
Acceso no autorizado
Cuando los desarrolladores de Software acceden sinautorizacin al sistema.
Perdida de Manuales
En una empresa que se necesite la actualizacin de unsistema. Personal mediocre
Cuando en el equipo de desarrollo se encuentra unapersona que desconoce los mtodos de desarrollo desoftware.
Diseo inadecuado
En el proceso de desarrollo los diseadores no escatimanel tiempo necesario para la creacin del diseo por larapidez de complementar la planeacin.
-
8/4/2019 Anlisis de Riesgos y Amenazas
12/38
La diferencia que hay entre amenaza y riesgo
es la siguiente:
La amenaza es aquello que puede ocurrir, siempre
est presente y que tiene como fin ocasionar
algn tipo de dao.
El riesgo es la medida de la posibilidad de que
pueda ocurrir algo problemtico, como porejemplo, que una amenaza suceda.
-
8/4/2019 Anlisis de Riesgos y Amenazas
13/38
-Concepto
-Importancia
-Beneficios
-Frmula Clculo de Riesgos
Siempre me ro de la gente que dice que nunca hanconocido a un analista rico. Me encanta, es unaafirmacin tan arrogante y carente de sentido. Youtilic el anlisis durante 9 aos y me hice rico.Marty Schwartz
hizo su fortuna en el comercio de acciones, por anlisis tcnico.
-
8/4/2019 Anlisis de Riesgos y Amenazas
14/38
El anlisis de riesgo es una metodologa que se encargade estudiar, evaluar, medir y prevenir las posibilidadesde que haya una causa para las posibles amenazas oeventos no deseados que pueden ocurrir en un
entorno de informtica y de informacin o, paraabarcarlo todo, en una organizacin empresarial en lacual se manipule informacin tanto por mediosinformticos como por medios no informticos. Y semenciona todo ya que todo lo que est relacionado
con la manipulacin de algn tipo de informacin enuna organizacin est expuesto a tener riesgos,amenazas y daos.
-
8/4/2019 Anlisis de Riesgos y Amenazas
15/38
Identificar, medir y prevenir los riesgos que representa una
instalacin industrial para los bienes de la empresa.
Deducir los posibles accidentes graves que pudieran producirse.
Determinar las consecuencias en el espacio y el tiempo de los
accidentes, aplicando determinados criterios de vulnerabilidad.
Analizar las causas de dichos accidentes y proponer soluciones.
Discernir sobre la aceptabilidad o no de las propias instalaciones
y operaciones realizadas en la empresa.
Definir medidas y procedimientos de prevencin y proteccin
para evitar la ocurrencia y/o limitar las consecuencias de los
accidentes.
-
8/4/2019 Anlisis de Riesgos y Amenazas
16/38
Pues es importante el tener suposiciones de lo quepueda ocurrir con aquello que est relacionado con lainformacin, en algunas ocasiones dichas suposicionesse pueden volver realidad.
Hay un refrn muy bueno para estos casos que dice: Es mejor prevenir antes que lamentar.
Qu se trata de prevenir? Se trata de prevenir lasamenazas.
Por medio de qu se previenen las amenazas? Con el
anlisis de riesgo. Qu puede ser lamentable? Los daos que ha causado
una suposicin que se ha vuelto real.
-
8/4/2019 Anlisis de Riesgos y Amenazas
17/38
Frmula:
RT (Riesgo Total) = Probabilidad x Impacto Promedio.
-
8/4/2019 Anlisis de Riesgos y Amenazas
18/38
Identifica, analiza y documenta de manera participativa las posibles
amenazas naturales y socio naturales (inundaciones, incendios forestales,
deslizamientos y otras), articulando el conocimiento tcnico-cientfico
Especifica caractersticas de las amenazas en cuanto a duracin,
intensidad y probabilidad de ocurrencia y pone un valor numrico a la
amenaza.
Hace el estudio sobre la capacidad de sistema o de un elemento expuesto
(donde la persona es el centro de atencin) para hacer enfrentar, eludir o
neutralizar los efectos de determinados eventos naturales o generados
por los humanos.
Cuantificar la vulnerabilidad y darle un valor para lo cual se obtiene un
promedio de los valores de exposicin, fragilidad y resiliencia (capacidad
que se posee para ser frente a las adversidades).
Es una herramienta que permite disear y evaluar alternativas de accin
con la finalidad de mejorar la toma de decisiones para priorizar las
inversiones en el nivel local y nacional.
-
8/4/2019 Anlisis de Riesgos y Amenazas
19/38
Ahora que estoy viejo se que las etapas eran los pasosque me permitan llegar aqu, mejor que no me salteninguno.Annimo
- Explicacin de cada etapa
- Reacciones luego del anlisis
-
8/4/2019 Anlisis de Riesgos y Amenazas
20/38
El proceso de anlisis de riesgo consiste en ocho pasosinterrelacionados:
Identificacin y evaluacin de activo
Identificar las amenazas correspondientes
Identificar las vulnerabilidades
Determinar el impacto de la ocurrencia de una amenaza
Determinar los controles en el lugar
Determinar los riesgos residuales (Conclusiones)
Identificar los controles adicionales (Recomendaciones)
Preparar el informe del anlisis de riesgo.
-
8/4/2019 Anlisis de Riesgos y Amenazas
21/38
Controlar el riesgo. Fortalecer los controles existentes y/o agregar nuevos
controles.
Eliminar el riesgo.
Eliminar el activo relacionado y con ello se elimina elriesgo.
Compartir el riesgo. Mediante acuerdos contractuales parte del riesgo se
traspasa a un tercero.
Aceptar el riesgo. Se determina que el nivel de exposicin es adecuado y por
lo tanto se acepta.
-
8/4/2019 Anlisis de Riesgos y Amenazas
22/38
- Tipo de metodologa
Todo mtodo consiste en el orden y disposicin deaquellas cosas hacia las cuales es preciso dirigir laagudeza de la mente para descubrir alguna verdad.Descartes
considerado el padre de la filosofa moderna
-
8/4/2019 Anlisis de Riesgos y Amenazas
23/38
Existen metodologas ampliamentereconocidas de manera internacional y de usogeneralizado.
Entre algunas podemos mencionar: MAGERIT
MECI
EBIOS CRAMM
OCTAVE
-
8/4/2019 Anlisis de Riesgos y Amenazas
24/38
MAGERIT
Es un mtodo formal para investigar los riesgos
que soportan los Sistemas de Informacin, y para
recomendar las medidas apropiadas que deberanadoptarse para controlar estos riesgos.
Elaborada por un equipo interdisciplinar del
Comit Tcnico SSITAD, del Consejo Superior de
Informtica.
-
8/4/2019 Anlisis de Riesgos y Amenazas
25/38
OBJETIVOS
Concienciar a los responsables de los sistemas deinformacin de la existencia de riesgos y de lanecesidad de interrumpirlos a tiempo.
Ofrecer un mtodo sistemtico para analizar talesriesgos.
Ayudar a descubrir y planificar las medidas oportunaspara mantener los riesgos bajo control.
Preparar a la Organizacin para procesos deevaluacin, auditora, certificacin o acreditacin,segn corresponda en cada caso.
-
8/4/2019 Anlisis de Riesgos y Amenazas
26/38
MAGERIT PERMITE Estudiar los riesgos que soporta un sistema de
informacin y el entorno asociado a l.
Realiza de un anlisis de los riesgos; seala los
riesgos existentes, las amenazas que acechan alsistema de informacin, y determina lavulnerabilidad del sistema.
Los resultados del anlisis permiten a la gestin deriesgos recomendar las medidas apropiadas que
deberan adoptarse para prevenir, reducir ocontrolar los riesgos identificados y as reducir almnimo su potencialidad.
-
8/4/2019 Anlisis de Riesgos y Amenazas
27/38
Etapa1: PlanificacinActividades:
I. Oportunidad
de realizacin
II. Definicin y
diseo de los
Objetivos
III. Planificacindel proyecto
IV. Lanzamiento
del proyecto
Etapa2: Anlisis de
Riesgos
Actividades:I. Recogida de
Informacin
II. Identificacin y
agrupacin de
activos
III. Identificacin y
evaluacin deAmenazas
IV. Identificacin y
estimacin de
Vulnerabilidades
V. Identificacin y
valoracin de
impactos
Etapa3: Gestin de
Riesgos
Actividades:I. Interpretacin del
Riesgo
II. Identificacin y
estimacin de las
Funciones
Salvaguarda
III. Seleccin deFunciones de
Salvaguarda
IV. Cumplimiento de
objetivos
Planificacin y otras
fases de Gestin de la
Seguridad de los S.I.
Etapa4: Seleccin de
Salvaguardas
Actividades:I. Identificacin de
mecanismos de
Seguridad
II. Seleccin de
mecanismos de
Salvaguarda
III. Especificacin demecanismos a
implantar
IV. Planificacin de la
implantacin
V. Integracin de
resultados
Objetivos, estrategias,
polticas de seguridad
-
8/4/2019 Anlisis de Riesgos y Amenazas
28/38
Matriz de Calificacin, Evaluacin y Respuesta alos Riesgos
-
8/4/2019 Anlisis de Riesgos y Amenazas
29/38
Evitad las menudas superfluidades, porque por unarendija puede naufragar un navo.Benjamin Franklin
Poltico, cientfico e inventor estadounidense.
- Concepto
- Control contra riegos
- Clasificacin de Controles
-
8/4/2019 Anlisis de Riesgos y Amenazas
30/38
El control es una etapa primordial en la administracinde seguridad, pues, aunque una empresa cuente con
magnficos planes, una estructura organizacional
adecuada y una direccin eficiente, el encargado de
seguridad no podr verificar cul es la situacin real de laorganizacin a nivel de seguridad si no existe un
mecanismo que se cerciore e informe si los hechos van
de acuerdo con los objetivos que se esperan.
El concepto de control es muy general y puede ser
utilizado en el contexto organizacional, no solo en
seguridad, para evaluar el desempeo general frente a
un plan estratgico.
-
8/4/2019 Anlisis de Riesgos y Amenazas
31/38
Arquitecturas inseguras
Una red o de programacin mal configurada o mal
diseada es un punto de entrada principal para
usuarios no autorizados. Al dejar una red localabierta, confiable, vulnerable a la Internet que es
altamente insegura, equivale a dejar una puerta
abierta en un vecindario con alta criminalidad
puede que no ocurra nada durante un cierto
tiempo, pero eventualmente alguien intentar
aprovecharse de la oportunidad. Es un riesgo.
-
8/4/2019 Anlisis de Riesgos y Amenazas
32/38
Redes de difusin Los administradores de sistemas a menudo fallan al darse
cuenta de la importancia del hardware de la red en susesquemas de seguridad. El hardware simple, tal comoconcentradores y enrutadores a menudo se basan en
broadcast o en el principio de sin interruptores; esto es,cada vez que un nodo transmite datos a travs de la red aotro nodo recipiente, el concentrador o enrutador haceuna difusin de los paquetes de datos hasta que el nodorecipiente recibe y procesa los datos. Este mtodo es el
ms vulnerable para hacer engaos de direccionesspoofing al protocolo de resolucin de direcciones arp ocontrol de acceso a la media MAC tanto por intrusosexternos como por usuarios no autorizados. Es un riesgo.
-
8/4/2019 Anlisis de Riesgos y Amenazas
33/38
Servidores centralizados Otro riego de redes y sistemas es el uso de computacin
centralizada. Una forma comn de reducir costos paramuchos negocios, es el de consolidar todos los servicios auna sola mquina poderosa. Esto puede ser conveniente
porque es fcil de manejar y cuesta considerablementemenos que una configuracin de mltiples servidores.
Sin embargo, un servidor centralizado introduce un puntonico de falla en la red. Si el servidor central est
comprometido, puede dejar la red totalmente intil o peoran, sensible a la manipulacin o robo de datos. En estassituaciones un servidor central se convierte en una puertaabierta, permitiendo el acceso a la red completa.
-
8/4/2019 Anlisis de Riesgos y Amenazas
34/38
Controles fsicos El control fsico es la implementacin de medidas de
seguridad en una estructura definida usada para preveniro detener el acceso no autorizado a material confidencial.Ejemplos de los controles fsicos son:
Cmaras de circuito cerrado
Sistemas de alarmas trmicos o de movimiento
Guardias de seguridad
Identificacin con fotos
Puertas de acero con seguros especiales Biomtrica (incluye huellas digitales, voz, rostro, iris,
escritura a mano y otros mtodos automatizados utilizadospara reconocer individuos)
-
8/4/2019 Anlisis de Riesgos y Amenazas
35/38
Controles tcnicos Los controles tcnicos utilizan la tecnologa como una
base para controlar el acceso y uso de datosconfidenciales a travs de una estructura fsica y sobre
la red. Los controles tcnicos son mucho ms extensosen su mbito e incluyen tecnologas tales como:
Encriptacin
Tarjetas inteligentes
Autenticacin a nivel de la red
Listas de control de acceso (ACLs)
Software de auditora de integridad de archivos
-
8/4/2019 Anlisis de Riesgos y Amenazas
36/38
Controles administrativos
Los controles administrativos definen los factores
humanos de la seguridad. Incluye todos los niveles del
personal dentro de la organizacin y determina culesusuarios tienen acceso a qu recursos e informacin
usando medios tales como:
Entrenamiento y conocimiento
Planes de recuperacin y preparacin para desastres
Estrategias de seleccin de personal y separacin
Registro y contabilidad de personas.
-
8/4/2019 Anlisis de Riesgos y Amenazas
37/38
-
8/4/2019 Anlisis de Riesgos y Amenazas
38/38
No hay riesgos en
preguntar algo!!!