Your SlideShare is downloading. ×
Análisis de riesgos
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Análisis de riesgos

7,376
views

Published on

Published in: Technology

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
7,376
On Slideshare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
267
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Análisis de Riesgos
    Universidad Nacional Federico Villarreal
    Facultad de Ingeniería Industrial y de Sistemas
    Escuela de Ingeniería de Sistemas
    Seguridad en Computación e Informática
  • 2. BENITEZ PEREYRA, PAUL FRANCISCO E.
    CASACHAHUA MEDINA, JOSÉ RODOLFO ALBERTO
    GARCÍA MORAUSKY, CESAR RICARDO
    Integrantes
    FLORIAN ARTEAGA, EDUARDO MIGUEL
    GONZALES BERNAL, JAIR ANTONIO
  • 3. INTRODUCCIÓN
    • También debemos tener en cuenta que cada día va en aumento la cantidad de casos de incidentes relacionados con la seguridad de los sistemas de información que comprometen los activosde las empresas.
    • 4. Lo que antes era ficción, en la actualidad se convierte, en muchos casos, en realidad. Las amenazas siempre han existido, la diferencia es que ahora, el enemigo es más rápido, más difícil de detectar y mucho más atrevido.
    • 5. Es por esto, que toda organización debe estar en alerta y saber implementar sistemas de seguridad basados en análisis de riesgos para evitar o minimizar las consecuencias no deseadas.
  • ¿Qué es el análisis de riesgos?
    En pocas palabras el análisis o evaluación de riesgos informáticos es un proceso que engloba la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo, además que es el primer paso de la seguridad informática.
    CONTENIDO
  • 6. CONTENIDO
    ¿Qué acciones incluye este análisis de riesgos?
    • Identificación de los activos
    • 7. Identificación de los requisitos legales y de negocios que son relevantes para la identificación de los activos
    • 8. Valoración de los activos identificados
    • 9. Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad.
    • 10. Identificación de las amenazas y vulnerabilidades importantes para los activos identificados.
    • 11. Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
    • 12. Cálculo del riesgo.
    • 13. Evaluación de los riesgos frente a una escala de riesgos preestablecidos.
  • CASOS PRÁCTICOS DE ANÁLISIS DE RIESGOS
  • 14. 1 CASO PRÁCTICO
    Dispositivo CK3 es una tecnología móvil que se usa como plataforma para la aplicación web del sistema de trazabilidad de una compañía de gaseosas el cual es usado por los operarios en las plantas para registrar cada paleta de productos fabricados en planta como también los jefes de almacén para registrar y controlar las entradas y salidas de las paletas del almacén tanto en la planta como en los CDA’s.
  • 15. Riesgos por parte de:
    Usuarios:
    Cuando los operarios quieren registrar dos paletas a la vez sin esperar que el primer registro se cargue, esto ocasiona que se congele el aplicativo por lo cual se genera una interrupción.
    Cuando los operarios dejan caer el dispositivo provocando una falla de hardware el cual implica su inoperancia para trabajar en el entorno web esto genera una interrupción.
    Cuando el operador no cambia de batería a pesar de la indicación de la señal de carga del dispositivo, esto provoca una des configuración del dispositivo, la cual provoca una interrupción.
  • 16. Riesgos por parte de:
    Programación:
     
    Cuando hay una extensión de la producción de un producto por requerimiento del área comercial conjuntamente con los CDA’s esto en el aplicativo genera un error por exceso de paletas es decir que el aplicativo no es flexible a este caso y se genera una interrupción.
    Servicios de comunicación:
     
    Cuando un elemento de red presenta fallas produciendo problemas en la conexión entre el servidor del aplicativo web con el dispositivo móvil de una área de la planta esto genera una interrupción.
  • 17. Análisis del impacto según los siguientes parámetros
    1. Consecuencias de la interrupción del servicio En el negocio:
    Una interrupción del servicio de base de datos, aplicativo web, elementos de red o comunicación y otros recursos de TI generaría:
    • Pérdida de rentabilidad.
    • 18. Pérdida de cuota de mercado.
    • 19. Mala imagen de marca.
  • Análisis del impacto según los siguientes parámetros
    2. Cuánto se puede esperar a restaurar el servicio sin que tenga un alto impacto en los procesos de negocio:
  • 20. 2 CASO PRÁCTICO: ANÁLISIS DE VULNERABILIDADES EN LA WEB
    VULNERABILIDAD
    En seguridad informática, la palabra vulnerabilidad hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones.
  • 21. Algunas vulnerabilidades típicas suelen ser:
    Desbordes de pila y otros buffers.
    Errores en la validación de entradas como: inyección SQL, BUGen el formato de cadenas, etc.
    Secuestro de sesiones.
    Ejecución de código remoto(RFI) y XSS.
  • 22.
  • 23. HIGH
  • 24.
  • 25. LOW
  • 26.
  • 27.
  • 28. 3 CASO PRÁCTICO: Base de Datos de una clínica
    PROBLEMA
    Una clínica cuenta con una BD que contiene aprox. 1000 registros sobre sus pacientes
    El servidor de aplicaciones que accede a esta BD se encuentra en un DMZ
    Los datos de transferencia, así como los contenidos en la BD no estaban encriptados
    La aplicación es vulnerable a un SQL Injection.
    La base de datos puede almacenar desde 10000 a 500000 registros
  • 29. Análisis Cuantitativo
    Por medio de un análisis de impacto de negocio, se sabe que la reposición de cada registro tiene un costo de $30.
    Para calcular el gasto total se usa el SLE (Expectativa de pérdida única)
    𝐒𝐋𝐄=(𝐕𝐚𝐥𝐨𝐫 𝐝𝐞𝐥 𝐚𝐜𝐭𝐢𝐯𝐨)∗(𝐅𝐚𝐜𝐭𝐨𝐫 𝐝𝐞 𝐄𝐱𝐩𝐨𝐬𝐢𝐜𝐢𝐨𝐧)
     
  • 30. Análisis Cuantitativo
    El valor del activo es $30.
    El factor de exposición puede variar.
    Se toma 500000 por la cantidad máxima de registros que pueden perderse
    𝑺𝑳𝑬=(𝟑𝟎)∗(𝟓𝟎𝟎𝟎𝟎𝟎)
    𝑺𝑳𝑬=$𝟏𝟓𝟎𝟎𝟎𝟎𝟎𝟎
     
  • 31. Análisis Cualitativo
    Se observa el impacto del problema recae sobre Reputación de la institución
    El tipo de ataque es simple y una vez descubierta la vulnerabilidad puede seguir siendo realizado
    El alto número de registros confidenciales perdidos (Pueden llegara a 500000)
  • 32. Análisis Cualitativo
    Las pérdidas monetarias en reposiciones, asciende a $15000000.
    De todos estos casos se puede concluir que el impacto sobre la empresa es ALTO.
  • 33. 4 CASO PRÁCTICO: METODOLOGIA RISK IT
    La consultora en procesos de negocio de IT “E-STRATEGA” es una de las consultoras de mayor prestigio en Latinoamérica.
    Estudia todo lo referido a la gestión de procesos de negocio y las buenas prácticas que se deben seguir en cada etapa de sus actividades relacionadas a la planificación, operación, seguridad entre otros aspectos.
    Para ellos hace uso de una serie de metodologías que se enmarcan en distintos ambientes., entre ellas tenemos el RISK IT
  • 34.
  • 35. ¿EN QUE CONSISTE RISK IT?
  • 36.
  • 37. BENEFICIOS DEL RISK IT
    • Ayudar continuamente a la optimización de la gestión de riesgo y del entorno.
    • 38. Indicadores
    • 39. Aumentar la probabilidad de alcanzar los objetivos de la empresa
  • 5 CASO PRÁCTICO: Vicepresidencia Tercera del GobiernoMinisterio de Política Territorial y Administración Pública
    Metodología MAGERIT
  • 40.
  • 41.
  • 42.
  • 43. Toma de datos y procesos de información
  • 44. Establecimiento de Parámetros
  • 45. Valoración de Activos
  • 46. Amenazas globales
  • 47. Controles por amenazas
  • 48. Riesgo efectivo x activo
  • 49. ¿Qué mira la alta gerencia?
  • 50. CONCLUSIONES
  • 51. RECOMENDACIONES
  • 52. MUCHAS GRACIAS