Apuntes sobre el análisis y gestión de riesgos

1. Autor: Santiago Galván Sánchez

3. Hay que valorarla en términos de cinco factores fundamentales, y hacer comparaciones entre diversas condiciones de los bandos antagonistas, de cara a determinar el resultado de la contienda.

4. El primero de estos factores es la política; el segundo, el clima; el tercero, el terreno; el cuarto, el comandante; y el quinto, la doctrina.

5. Mediante todo esto, uno puede adivinar el resultado final de la batalla. El arte de la guerra Sun Tzu, 2.000 a.C.

7. ¿El reducir la cantidad de dinero efectivo, aumenta la seguridad?

8. ¿Las medidas de seguridad hacen que no exista ningún riesgo para el banco?

10. Pérdida de beneficios Deterioro de la confianza del inversor Perjuicio de la reputación Pérdida o compromiso de la seguridad de los datos Interrupción de los procesos empresariales Deterioro de la confianza del cliente Consecuencias legales

14. Se denominan activos los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección.

16. Las aplicaciones informáticas (software) que permiten manejar los datos.

17. Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y servicios.

18. Los soportes de información que son dispositivos de almacenamiento de datos.

19. El equipamiento auxiliar que complementa el material informático.

20. Las redes de comunicaciones que permiten intercambiar datos.

21. Las instalaciones que acogen equipos informáticos y de comunicaciones.

22. Las personas que explotan u operan todos los elementos anteriormente citados.

24. Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño.

26. Esas debilidades pueden ser explotadas por amenazas que pueden causar una rotura de seguridad que tenga como consecuencia daño o perdida de esos activos de información

28. El riesgo es una estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización (impacto).

29. El riesgo crece con el impacto y con la frecuencia.

32. Las salvaguardas pueden tener vulnerabilidades por lo que es necesario realizar pruebas y seguimiento de las mismas.

37. V ulnerabilidades : debilidades asociadas a activos de información

38. A MENAZA: Evento que puede desencadenar un incidente en la organización, produciendo daños o pérdidas en sus activos.

39. R IESGO: Posibilidad de que una amenaza se materialice.

40. I MPACTO: Consecuencia sobre un activo de la materialización de una amenaza.

41. C ONTROL: Práctica, procedimiento o mecanismo que reduce el nivel de riesgo.

45. Identificar los riesgos de la seguridad

47. Probar los métodos correctivos de seguridad

49. Estabilizar e implementar medidas preventivas nuevas o que han cambiado

50. Seguimiento Plan Análisis Control Identificación 1 2 3 5 4 Declaración de riesgos

52. Gestión de riesgos: selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. Análisis de riesgos + Tratamientos de riesgos = Gestión de riesgos

57. Paso 2. Valorar los activos.

58. Paso 3. Identificar las amenazas.

59. Paso 4. Determinar el impacto de una amenaza.

60. Paso 5. Determinación del riesgo.

61. Paso 6. Establecer salvaguardas.

62. Paso 7. Revisión del paso 4, determinar el impacto residual.

63. Paso 8. Revisión del paso 5, determinar el riesgo residual.

67. coste de mano de obra (especializada) invertida en recuperar (el valor) del activo

68. lucro cesante: pérdida de ingresos

69. capacidad de operar: confianza de los usuarios y proveedores que se traduce en una pérdida de actividad o en peores condiciones económicas

70. sanciones por incumplimiento de la ley u obligaciones contractuales

71. daño a otros activos, propios o ajenos

72. daño a personas

73. daños medioambientales.

76. la relatividad: es importante poder relativizar el valor de un activo en comparación con otros a ctivos

78. 1 . El servidor proporciona una funcionalidad básica pero no tiene un impacto financiero en el negocio. 3 . El servidor contiene información importante, pero los datos se pueden recuperar rápida y fácilmente. 5 . El servidor contiene datos importantes que llevaría algún tiempo recuperar. 8 . El servidor contiene información importante para los objetivos empresariales de la compañía. La pérdida de este equipamiento tendría un efecto considerable en la productividad de todos los usuarios. 10 . El servidor tiene un efecto considerable en el negocio de la compañía. La pérdida de este equipamiento resultaría en una desventaja con respecto a la competencia.

85. Obtener privilegios de administrador de forma ilegítima

88. frecuencia: cada cuánto se materializa la amenaza

91. C apacidad de reproducción

92. C apacidad de explotación

93. U suarios afectados

94. C apacidad de descubrimiento

96. Limitando el daño causado. Hay salvaguardas que directamente limitan la posible degradación, mientras que otras permiten detectar inmediatamente el ataque para frenar que la degradación avance. Incluso algunas salvaguardas se limitan a permitir la pronta recuperación del sistema cuando la amenaza lo destruye. En cualquiera de las versiones, la amenaza se materializa; pero las consecuencias se limitan.

99. está perfectamente desplegada, configurada y mantenida

100. se emplea siempre

101. existen procedimientos claros de uso normal y en caso de incidencias los usuarios están formados y concienciados

102. existen controles que avisan de posibles fallos

103. Entre una eficacia del 0% para aquellas que están de adorno y el 100% para aquellas que son perfectas, se estimará un grado de eficacia real en cada caso concreto.

107. hay que tener un plan de emergencia

108. hay que tener un plan de recuperación

111. Controles preventivos : reduce la vulnerabilidad (ej. Parches en los Sistemas operativos)

112. Controles detectores : detectan incidente en curso (sensores IDS en las redes).

113. Controles correctivos : posterior al incidente (copias de seguridad).

118. Promovido por CSAE: Consejo Superior de Administración Electrónica.

120. ofrecer un método sistemático para analizar tales riesgos