metodologia para determinar las amenazas a los activos
TRANSCRIPT
![Page 1: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/1.jpg)
1
![Page 2: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/2.jpg)
2
METODOLOGÍA PARA DETERMINAR LAS AMENAZAS
A LOS ACTIVOS LAYME VELÁSQUEZ, Rubén Darío
PEÑA MANRIQUE, José Luís
![Page 3: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/3.jpg)
3
CONTENIDO
INTRODUCCIÓN
METODOLOGÍA PARA DETERMINAR LAS AMENAZAS A LOS ACTIVOS
CONCLUSIONES
RECOMENDACIONES
![Page 4: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/4.jpg)
4
INTRODUCCIÓN
La meta principal de la administración del riesgo informático debería ser “proteger a la organización y su habilidad de manejar su misión” no solamente la protección de los elementos informáticos.
Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad, considerando la probabilidad y la importancia de ocurrencia.
Entonces, el análisis de riesgo informático se vuelve un elemento importante que forma parte del programa de gestión de continuidad de negocio.
![Page 5: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/5.jpg)
5
PROCESO DE EVALUACIÓN DEL RIESGO
REQUERIMIENTOS DE SEGURIDAD
CONTROLES
AMENAZAS VULNERABILIDADES
ACTIVOS
VALOR DE LOS ACTIVOS
Aumentan Aumentan
Aumenta
Impactan si sematerializan
MarcanImponen
Disminuyen
Protegen de
Aprovechan
Tienen
Exponen
![Page 6: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/6.jpg)
6
METODOLOGÍAS DE ANÁLISIS DE RIESGOS
MAGERIT
• Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
OCTAVE
• Metodología de Análisis y Gestión de Riesgos. (Operationally Critical Threat, Asset, and Vulnerability Evaluation)
![Page 7: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/7.jpg)
7
METODOLOGÍAS DE ANÁLISIS DE RIESGOS
MAGERIT
• Valor y dependencias entre activos.
• Relación de las amenazas a que están expuestos los activos.
• Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema.
• Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación.
• Magerit comprende 4 fases.• Conjunto de programas de
seguridad que permiten materializar las decisiones de gestión de riesgos.
OCTAVE
• Identificar recursos importantes• Enfocar las actividades de análisis
de riesgos• Relacionar amenazas y
vulnerabilidades• Evaluar riesgos• Crear una estrategia de
protección• Define el rumbo de la compañía• Acciones a corto plazo• El método octave usa 3 fases
para examinar asuntos tecnológicos y de organización.
• La tecnología se examina únicamente en relación a las prácticas de seguridad.
![Page 8: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/8.jpg)
8
SELECCIÓN DE METODOLOGÍA
![Page 9: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/9.jpg)
9
MAGERIT
![Page 10: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/10.jpg)
10
MAGERIT
![Page 11: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/11.jpg)
11
ESTABLECIMIENTO DE PARAMETROS
![Page 12: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/12.jpg)
12
VALORACIÓN DE ACTIVOS
![Page 13: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/13.jpg)
13
AMENAZAS GLOBALES
![Page 14: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/14.jpg)
14
CONTROLES POR AMENAZAS
![Page 15: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/15.jpg)
15
CONTROLES POR AMENAZAS
![Page 16: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/16.jpg)
16
RESULTADOS PARA LA GERENCIA
![Page 17: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/17.jpg)
17
ANÁLISIS Y GESTIÓN DE RIESGOS PARA EL SERVIDOR RADIUS DEL LABORATORIO DE LA
F.I.S. (ESCUELA POLITÉCNICA NACIONAL - QUITO)
![Page 18: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/18.jpg)
18
SITUACIÓN ACTUAL DEL SERVIDOR
![Page 19: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/19.jpg)
19
ANÁLISIS Y GESTIÓN RIESGOS DEL SERVIDOR RADIUS
![Page 20: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/20.jpg)
20
ANÁLISIS Y GESTIÓN RIESGOS DEL SERVIDOR RADIUS
![Page 21: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/21.jpg)
21
ACTIVOS (PILAR)
![Page 22: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/22.jpg)
22
ACTIVOS (PILAR)
![Page 23: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/23.jpg)
23
AMENAZAS (PILAR)
![Page 24: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/24.jpg)
24
AMENAZAS (PILAR)
![Page 25: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/25.jpg)
25
AMENAZAS (PILAR)
![Page 26: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/26.jpg)
26
ESTIMACIÓN DE ESTADO DE RIESGO
![Page 27: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/27.jpg)
27
SALVAGUARDA
![Page 28: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/28.jpg)
28
ANÁLISIS Y GESTIÓN RIESGOS DEL SERVIDOR RADIUS
![Page 29: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/29.jpg)
29
RETORNO DE INVERSIÓN
![Page 30: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/30.jpg)
30
![Page 31: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/31.jpg)
31
PLAN DE MITIGACIÓN
![Page 32: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/32.jpg)
32
CONCLUSIONES
La forma de conseguir el mayor beneficio en seguridad de la información es contar con una adecuada evaluación de riesgos, que oriente las inversiones, que minimicen el impacto en casos de incidentes
La seguridad de la información no es una responsabilidad únicamente del área de tecnología debe fluir desde la alta gerencia hacia todos los procesos de negocios
Un comité de seguridad de la información compuesto por cada jefe de área genera más compromiso para hacer cumplir las políticas de seguridad de la información
Si la seguridad de la información depende únicamente de IT entonces la probabilidad es del 100% de que no se implemente
![Page 33: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/33.jpg)
33
RECOMENDACIONES
Utilizar la metodología MAGERIT, para instituciones públicas o privadas que contenga activos tangibles o intangibles, complementando el análisis con la herramienta PILAR, que es una herramienta propia automatizada y basada en la metodología, que permite trabajar con un amplio conjunto de activos, amenazas y salvaguardas.
Identificar en que sitios van a residir los activos o datos importantes por su confidencialidad e integridad, por su valor de carácter personal, por su clasificación de seguridad, y por qué lugares van a circular.
Registrar y documentar: los procesos, actividades y tareas del personal que maneja los sistemas informáticos, para poder ser utilizados en un AGR, como también ser una guía para un nuevo personal.
Difundir los Planes de Mitigación de riesgos a las personas encargadas de la administración del área de sistemas, con el fin de que sepan que acciones realizar en caso de presentarse incidentes de seguridad.
![Page 34: Metodologia para determinar las amenazas a los activos](https://reader038.vdocuments.pub/reader038/viewer/2022102816/5591bd8a1a28ab815c8b456c/html5/thumbnails/34.jpg)
34
GRACIAS.