Clase 4 analisis de riesgos

26,434 views

Published on

28 feb

Clase 4 analisis de riesgos

  1. 1. PNF INFORMÁTICA. T4T1 SEGURIDAD INFORMÁTICA PROF: Johanna Gómez
  2. 2. Estimación del grado de exposición de una amenaza sobre uno o más activos causando daños o perjuicios a la Organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.
  3. 3. Las amenazas son eventos que pueden producir daños materiales o inmateriales en los activos . Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño. Hay amenazas naturales (terremotos, inundaciones, ...) y desastres industriales o servicios (contaminación, fallos eléctricos, ...) ante los cuales el sistema de información es víctima. También hay amenazas causadas por las personas , bien errores o bien ataques intencionados.
  4. 4. Las políticas de seguridad son las prácticas, procedimientos o mecanismos que ayudan a reducir el riesgo. Políticas de seguridad
  5. 6. Gracias a este análisis de riesgos conoceremos el impacto económico de un fallo de seguridad y la probabilidad realista de que este ocurra .
  6. 7. Por ejemplo, imaginemos que una organización tiene un servidor que contiene información definida como de bajo valor.
  7. 8. Servidor
  8. 12. El objetivo principal de este proceso es establecer el marco general de referencia para todo el análisis. Esta etapa incluye la estimación de: Personal técnico: Personas cuya función es recabar la información y establecer las medidas necesarias para cumplir con el análisis. Usuarios: Son aquellas de quienes se recogerá la información dentro de la organización Recursos económicos necesarios para la ejecución. Definir los objetivos del proceso de análisis de riesgos. Tiempo estimado para realizar el análisis y elaborar las políticas. Podría ser con un diagrama de Gantt
  9. 13. Estimación del tiempo: debe ser realizado utilizando el Diagrama de Gantt, definiendo el tiempo necesario que se tomara el equipo en cada etapa o fase.
  10. 14. El entregable de esta etapa será un documento que describa a profundidad los aspectos antes mencionados, para tal fin se ofrece un modelo como ejemplo. Análisis y gestión de riesgos Etapa 1: Planificación Fecha: Objetivos: Personal: Técnico: Usuarios: Programador(es):______ Gerente:_____ Entrevistador(es):______ Secretaria:____ Entre otros:_____ Docentes: ____ Recursos
  11. 15. Se denomina activos a los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección. <ul><li>Conviene repetir que sólo interesan los recursos de los sistemas de información que tienen un valor para la Organización. A título de ejemplo, un servidor donde se encuentre almacenada toda información es un activo de mucho valor. Todo su valor es imputado: </li></ul><ul><li>• la indisponibilidad, la interrupción del servicio es el valor de disponibilidad que se le imputará al servidor </li></ul><ul><li>• el acceso no controlado al servidor pone en riesgo el secreto de los datos que presenta. </li></ul><ul><li>el coste que suponga la pérdida de confidencialidad de los datos es el valor de confidencialidad que se le imputará al servidor. </li></ul>
  12. 16. <ul><li>Quizás la mejor aproximación para identificar los activos sea preguntar directamente: </li></ul><ul><li>• ¿Qué activos son fundamentales para que la organización consiga sus objetivos? </li></ul><ul><li>¿Hay más activos que se tengan que proteger por obligación ? </li></ul><ul><li>• ¿Hay activos relacionados con los anteriores? </li></ul>No siempre es evidente identificar un activo. Si por ejemplo se tienen 300 puestos de trabajo o PC, todos idénticos a efectos de configuración y datos que manejan, no es conveniente analizar 300 activos idénticos. Basta analizar un PC genérico que cuya problemática representa la de todos. Agrupar simplifica el análisis. Otras veces se presenta el caso contrario, un servidor central que se encarga de varias funciones: servidor de archivos, de mensajería, de la intranet, del sistema de gestión documental y ... En este caso conviene segregar los servicios prestados y analizarlos por separado.
  13. 17. El entregable de esta etapa es la descripción de cada tipo de activo con su respectiva , función dentro de la organización entre algunos otros aspectos que sean importantes describir. Para ello se puede utilizar el siguiente formato: Análisis de riesgos Etapa 2: Identificación de activos Activo #: _____ Tipo de activo Físico: ____ Lógico:____ Nombre: Descripción:
  14. 18. Tipo de amenaza: Tipos de activos: Dimensiones: Descripción: Tipo de activo: Amenazas: Dimensiones: Descripción:
  15. 19. Cuando hablamos de las dimensiones, hacemos memoria y recordamos los principios de la seguridad de la información. Ellas son características o atributos que hacen valioso un activo. Las dimensiones se utilizan para valorar las consecuencias de la materialización de una amenaza. La valoración que recibe un activo en una cierta dimensión es la medida del perjuicio para la organización si el activo se ve dañado en dicha dimensión. Ellas son: Autenticidad Confidencialidad A ellos agregamos : Trazabilidad del servicio Integridad Trazabilidad de los datos. Disponibilidad
  16. 20. Llevándolas a la realidad, las dimensiones en un activo, las podemos definir así: • su autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace o ha hecho cada cosa? Esta valoración es típica de servicios (autenticidad del usuario) y de los datos (autenticidad de quien accede a los datos para escribir o, simplemente, consultar) • su confidencialidad: ¿qué daño causaría que lo conociera quien no debe? Esta valoración es típica de datos. • su integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto? Esta valoración es típica de los datos, que pueden estar manipulados, ser total o parcialmente falsos o, incluso, faltar datos. • su disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo? Esta valoración es típica de los servicios.
  17. 21. Ahora bien, en sistemas dedicados a la administración electrónica o al comercio electrónico, el conocimiento de los usuarios es fundamental para poder prestar el servicio correctamente y poder perseguir los fallos (accidentales o deliberados) que pudieran darse. En estos activos, además de la autenticidad, interesa calibrar la: • la trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se le presta tal servicio? O sea, ¿quién hace qué y cuándo? • la trazabilidad del acceso a los datos: ¿qué daño causaría no saber quién accede a qué datos y qué hace con ellos?
  18. 22. A continuación vemos un ejemplo sobre la determinación de las amenazas: Desastres naturales: Sucesos que pueden ocurrir sin intervención de los seres humanos como causa directa o indirecta. Tipo de amenaza: Fuego Tipos de activos: Computadoras Redes de comunicación Soportes de información Equipamiento auxiliar Instalaciones Dimensiones: Disponibilidad Descripción: Incendio: Posibilidad de que el fuego acabe con los recursos del sistema. En el material de apoyo encontrarán ejemplos sobre las amenazas más comunes y las dimensiones afectadas
  19. 24. Estimación de los riesgos: Amenaza: Fallas no intencionales causados por los usuarios Tipos de activos: Datos/información Aplicaciones Dimensiones: Disponibilidad Integridad <ul><li>Riesgo : </li></ul><ul><li>Pérdida de la información. </li></ul><ul><li>Modificación de los datos a ser procesados. </li></ul><ul><li>Desconfiguración de alguna aplicación. </li></ul>Valor: 9 Daño grave para la organización, ya que implica pérdida de datos/información importantes para la organización. Descripción: Equivocaciones de las personas cuando usan los servicios, datos, etc.
  20. 25. En el material de apoyo se describe la escala y los criterios los criterios asociados.
  21. 26. Escala de valoración de riesgos : Valor Criterio 10 Muy alto Daño muy grave a la organización 7-9 alto Daño grave 4-6 medio Daño importante 1-3 bajo Daño menor 0 despreciable irrelevante
  22. 27. El análisis de los riesgos es un paso importante para implementar la seguridad de la información. Se realiza para detectar los riesgos a los cuales están sometidos los activos en una organización, para saber cuál es la probabilidad de que una amenaza se concrete. La relación que existe entre la amenaza y el valor del riesgo, es la condición principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la corrección de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un análisis de riesgos.
  23. 28. A continuación se les hará entrega de un material, contentivo de casos de estudios con el objetivo de que sea analizados y se realicen algunas reflexiones.

×