2. Estimación del grado de exposición de una amenaza sobre uno o más activos causando daños o perjuicios a la Organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.
3. Las amenazas son eventos que pueden producir daños materiales o inmateriales en los activos . Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño. Hay amenazas naturales (terremotos, inundaciones, ...) y desastres industriales o servicios (contaminación, fallos eléctricos, ...) ante los cuales el sistema de información es víctima. También hay amenazas causadas por las personas , bien errores o bien ataques intencionados.
4. Las políticas de seguridad son las prácticas, procedimientos o mecanismos que ayudan a reducir el riesgo. Políticas de seguridad
5.
6. Gracias a este análisis de riesgos conoceremos el impacto económico de un fallo de seguridad y la probabilidad realista de que este ocurra .
7. Por ejemplo, imaginemos que una organización tiene un servidor que contiene información definida como de bajo valor.
12. El objetivo principal de este proceso es establecer el marco general de referencia para todo el análisis. Esta etapa incluye la estimación de: Personal técnico: Personas cuya función es recabar la información y establecer las medidas necesarias para cumplir con el análisis. Usuarios: Son aquellas de quienes se recogerá la información dentro de la organización Recursos económicos necesarios para la ejecución. Definir los objetivos del proceso de análisis de riesgos. Tiempo estimado para realizar el análisis y elaborar las políticas. Podría ser con un diagrama de Gantt
13. Estimación del tiempo: debe ser realizado utilizando el Diagrama de Gantt, definiendo el tiempo necesario que se tomara el equipo en cada etapa o fase.
14. El entregable de esta etapa será un documento que describa a profundidad los aspectos antes mencionados, para tal fin se ofrece un modelo como ejemplo. Análisis y gestión de riesgos Etapa 1: Planificación Fecha: Objetivos: Personal: Técnico: Usuarios: Programador(es):______ Gerente:_____ Entrevistador(es):______ Secretaria:____ Entre otros:_____ Docentes: ____ Recursos
15.
16.
17. El entregable de esta etapa es la descripción de cada tipo de activo con su respectiva , función dentro de la organización entre algunos otros aspectos que sean importantes describir. Para ello se puede utilizar el siguiente formato: Análisis de riesgos Etapa 2: Identificación de activos Activo #: _____ Tipo de activo Físico: ____ Lógico:____ Nombre: Descripción:
18. Tipo de amenaza: Tipos de activos: Dimensiones: Descripción: Tipo de activo: Amenazas: Dimensiones: Descripción:
19. Cuando hablamos de las dimensiones, hacemos memoria y recordamos los principios de la seguridad de la información. Ellas son características o atributos que hacen valioso un activo. Las dimensiones se utilizan para valorar las consecuencias de la materialización de una amenaza. La valoración que recibe un activo en una cierta dimensión es la medida del perjuicio para la organización si el activo se ve dañado en dicha dimensión. Ellas son: Autenticidad Confidencialidad A ellos agregamos : Trazabilidad del servicio Integridad Trazabilidad de los datos. Disponibilidad
20. Llevándolas a la realidad, las dimensiones en un activo, las podemos definir así: • su autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace o ha hecho cada cosa? Esta valoración es típica de servicios (autenticidad del usuario) y de los datos (autenticidad de quien accede a los datos para escribir o, simplemente, consultar) • su confidencialidad: ¿qué daño causaría que lo conociera quien no debe? Esta valoración es típica de datos. • su integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto? Esta valoración es típica de los datos, que pueden estar manipulados, ser total o parcialmente falsos o, incluso, faltar datos. • su disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo? Esta valoración es típica de los servicios.
21. Ahora bien, en sistemas dedicados a la administración electrónica o al comercio electrónico, el conocimiento de los usuarios es fundamental para poder prestar el servicio correctamente y poder perseguir los fallos (accidentales o deliberados) que pudieran darse. En estos activos, además de la autenticidad, interesa calibrar la: • la trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se le presta tal servicio? O sea, ¿quién hace qué y cuándo? • la trazabilidad del acceso a los datos: ¿qué daño causaría no saber quién accede a qué datos y qué hace con ellos?
22. A continuación vemos un ejemplo sobre la determinación de las amenazas: Desastres naturales: Sucesos que pueden ocurrir sin intervención de los seres humanos como causa directa o indirecta. Tipo de amenaza: Fuego Tipos de activos: Computadoras Redes de comunicación Soportes de información Equipamiento auxiliar Instalaciones Dimensiones: Disponibilidad Descripción: Incendio: Posibilidad de que el fuego acabe con los recursos del sistema. En el material de apoyo encontrarán ejemplos sobre las amenazas más comunes y las dimensiones afectadas
23.
24.
25. En el material de apoyo se describe la escala y los criterios los criterios asociados.
26. Escala de valoración de riesgos : Valor Criterio 10 Muy alto Daño muy grave a la organización 7-9 alto Daño grave 4-6 medio Daño importante 1-3 bajo Daño menor 0 despreciable irrelevante
27. El análisis de los riesgos es un paso importante para implementar la seguridad de la información. Se realiza para detectar los riesgos a los cuales están sometidos los activos en una organización, para saber cuál es la probabilidad de que una amenaza se concrete. La relación que existe entre la amenaza y el valor del riesgo, es la condición principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la corrección de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un análisis de riesgos.
28. A continuación se les hará entrega de un material, contentivo de casos de estudios con el objetivo de que sea analizados y se realicen algunas reflexiones.