Este documento trata sobre la gestión de riesgos y control informático. Explica conceptos como riesgo, amenazas y vulnerabilidades. También describe las fases del análisis de riesgo como identificar activos, amenazas, vulnerabilidades y evaluar el riesgo.
0 calificaciones0% encontró este documento útil (0 votos)
9 vistas8 páginas
Este documento trata sobre la gestión de riesgos y control informático. Explica conceptos como riesgo, amenazas y vulnerabilidades. También describe las fases del análisis de riesgo como identificar activos, amenazas, vulnerabilidades y evaluar el riesgo.
Este documento trata sobre la gestión de riesgos y control informático. Explica conceptos como riesgo, amenazas y vulnerabilidades. También describe las fases del análisis de riesgo como identificar activos, amenazas, vulnerabilidades y evaluar el riesgo.
Este documento trata sobre la gestión de riesgos y control informático. Explica conceptos como riesgo, amenazas y vulnerabilidades. También describe las fases del análisis de riesgo como identificar activos, amenazas, vulnerabilidades y evaluar el riesgo.
Descargue como PDF, TXT o lea en línea desde Scribd
Descargar como pdf o txt
Está en la página 1/ 8
GESTIÓN DE RIESGO Y
CONTROL INFORMÁTICO U3 Evaluación del riesgo
S5 ¿Qué es el riesgo? Concepto de riesgo, tipos de riesgos
S5| ¿Qué es el riesgo? Concepto de riesgo, tipos de riesgos
ÍNDICE
►EL RIESGO BAJO LA NORMA ISO 2700 3
►Las amenazas se pueden clasificar de dos tipos: 4 ►FASES EN QUE SE COMPONE EL ANALISIS DEL RIESGO 5 ►Fase Definición del alcance: 5 ►Fase Identificar los activos: 5 ►Fase Identificar / seleccionar las amenazas: 6 ►Fase identificar vulnerabilidades y salvaguardarlas: 6 ►Fase Evaluar el riesgo: 6 ►Fase tratamiento del riesgo: 6 ► Análisis de criticidad 7 Índice S5| ¿Qué es el riesgo? Concepto de riesgo, tipos de riesgos
EL RIESGO BAJO LA NORMA ISO 2700
Comencemos por comprender la definición de amenaza, es cualquier tipo de evento, ele-
mento o acciones, que puede afectar los activos de la información de la organización, estos pueden ser de varios tipos, estos los analizaremos mas adelante en el documento, para minimizar el impacto que el riesgo pueda traer a los procesos de la organización, se debe elaborar una adecuada gestión de riesgos, permitiendo conocer cuales son las principales vulnerabilidades de los activos de la información.
Para iniciar se debe implementar un análisis de riesgos, el cual identifica los activos, amenazas y vulnerabilidades, las amenazas solo pueden existir derivada de una vulnerabilidad. Índice S5| ¿Qué es el riesgo? Concepto de riesgo, tipos de riesgos
LAS AMENAZAS SE PUEDEN CLASIFICAR
DE DOS TIPOS:
1. Amenazas intencionales: son aquellas Se deben tener en cuenta los factores de
que deliberadamente se usan para vulnerabilidad, los cuales son: producir daño. ► Entorno de la actividad de la organización. 2. Amenazas no intencionales: son pro- ducidas por acciones u omisiones ► Cambios inesperados en políticas, regu- de acciones, poniendo en riesgo laciones y normas. los activos ► La cultura de la organización. Es importante que cada vez que se produzca un incidente de seguridad ► Sector de la actividad principal de la informática, debe ser reportado. organización. Índice S5| ¿Qué es el riesgo? Concepto de riesgo, tipos de riesgos
FASES EN QUE SE COMPONE EL
ANALISIS DEL RIESGO
Se debe analizar el impacto dentro de la organización, de un fallo de seguridad que
traiga la pérdida de confidencialidad, integridad o disponibilidad de un activo de infor- mación, evaluando la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades e impactos en los activos, esto se realiza por medio de la evaluación de riesgos, para ello debemos seguir as fases que los compone:
FASE DEFINICIÓN DEL ALCANCE:
El análisis de riesgos debe cubrir la totalidad del alcance del plan de seguridad informática, donde han seleccionado todas las áreas estratégicas sobre las que mejorar la seguridad.
FASE IDENTIFICAR LOS ACTIVOS:
Ya definido el alcance, se procede a identificar los activos más importantes dentro de
la organización, proceso o sistema. S5| ¿Qué es el riesgo? Concepto de Índice riesgo, tipos de riesgos
FASE IDENTIFICAR FASE TRATAMIENTO
/ SELECCIONAR DEL RIESGO: LAS AMENAZAS: Al calcular el riesgo, se debe tratar los Se identifican las amenazas a los que riesgos que se encuentren por encima de los activos se encentran expuestos. los valores establecidos, aplicando alguna de las 4 estrategias principales:
FASE IDENTIFICAR 1. Transferir el riesgo a un tercero.
VULNERABILIDADES Y 2. Eliminar el riesgo. SALVAGUARDARLAS: 3. Asumir el riesgo, siempre justificadamente. Se estudian las diferentes caracterís- ticas de los activos donde se identifican 4. Implantar medidas para mitigarlo. los puntos débiles o vulnerabilidades. Se hace necesario realizar este análisis Debe de igual manera analizar y docu- de riesgos dentro del contexto de un mentar, todas las medidas de seguridad plan de seguridad, las acciones e ini- implementadas, dentro de la organización. ciativas para tratar los riesgos pasan a formar parte del mismo. Es necesario su clasificación y priorización considerando FASE EVALUAR EL el resto de proyectos que forman parte del plan director de seguridad. RIESGO: De la mano de la fase, debemos entender los enfoques de la evaluación Ya para esta fase, se tiene la información de riesgos: necesaria para poder calcular de manera correcta el riesgo, para cada activo-ame- 1. Evaluación de Riesgo cualitativa: naza, estimando la probabilidad de que la amenaza se materialice y el impacto sobre Destaca los mayores riesgos, res- la organización que esto traerá. paldando las decisiones de asignación 6 S5| ¿Qué es el riesgo? Concepto de Índice riesgo, tipos de riesgos
de recursos, y diseñar un plan que per-
mita reaccionar ante las consecuencias ANÁLISIS DE de varias acciones de gestión potencial. CRITICIDAD 2. Evaluación Simple:
Se evalúan las consecuencias y las Partamos por estudiar el concepto de
probabilidades, donde se identifican los criticidad, el cual es un indicador pro- riesgos, basados en la escala para evaluar,porcional al riesgo establece la jerarquía separando las consecuencias y probabili- o prioridades de procesos, sistemas y dades, de cada uno de ellos. equipos, diseñando una estructura que facilita la toma de decisiones acertadas 3. Evaluación detallada de riesgos: y efectivas, permitiendo direccionar el esfuerzo y los recursos a las áreas donde es Además de evaluar la probabilidad y más importante y/o necesario mejorar la consecuencias, adicionalmente se incluye confiabilidad y administrar el riesgo. el valor del activo, donde se considera el tipo de daño que se desencadena si su con- fidencialidad, integridad o disponibilidad Tipos de Riesgos: estuviesen en peligro.
las amenazas y las vulnerabilidades Podemos diferenciar entre tipos de
influyen directamente en la probabilidad. riesgo según los objetivos que quieren Cuanto mayor es la amenaza y mayor es alcanzar: la vulnerabilidad, es más probable que ocurra el riesgo y viceversa. se define en torno a los valores cal- culados de vulnerabilidad y el impacto 4. Evaluación de riesgos cuantitativa: producido y es sólo un indicador que ayuda a tomar una decisión. Considera información puntual, precisa y medible, por medio de fórmulas mate- ► Riesgo residual: permanece y subsiste máticas y herramientas computacionales, después de haber implementado los calculando los valores de probabilidad e controles, una vez que la organización impacto. haya desarrollado completamente un
7 S5| ¿Qué es el riesgo? Concepto de Índice riesgo, tipos de riesgos
SGSI. Es un reflejo de las posibilidades de que ocurra un incidente, pese a verse
implantado con eficacia las medidas evaluadoras y correctoras para mitigar el riesgo inherente.
► Umbral de riesgo: es un valor que se ha establecido como referencia para poder
tomar la decisión mediante comparación con el riesgo que ha sido calculado.
► Riesgo intrínseco: es definido una vez se eliminan las acciones correctivas o
preventivas que ya habían sido establecidas en el activo.
