9 análisis de riesgos sobre la información de si.pdf

7/26/2019 9 Análisis de Riesgos sobre la Información de SI.pdf

http://slidepdf.com/reader/full/9-analisis-de-riesgos-sobre-la-informacion-de-sipdf 1/38

Ing. Juan Carlos Molina García

Especialista Arquitecto Empresarial

Magíster en Ingeniería de Sistemas y Computación

Análisis de Riesgos sobre la

Información de SI




Información de SI

¿Por qué medir el riesgo?

“La medición es el primer paso para el control y la mejora. Si

algo no se puede medir, no se puede entender. Si no se

entiende, no se puede controlar no se puede mejorar.”

H. James Harrinton




Información de SI

El riesgo es una función de la probabilidad que una amenazaactúe sobre una vulnerabilidad, y el impacto resultante es el

evento adverso (puede generar perdidas)

Riesgo = F(Impacto, Probabilidad)




Información de SI

Amenza

Cualquier circustancia o evento con el potencial de impactar

adversamente los activos de una organización

Criminales

Sucesos Físicos Negligencia y malas decisiones




Información de SI

Vulnerabilidad

Debilidad de un sistema de información, procedimiento de

seguridad, control interno o implementación, que pueda ser

explotada por un fuente de amenaza.

NIST SP 800-39

Ambientales/Físicas

Económicas

Socio-Educativa

Institucional/ Política




Información de SI

Ejemplo vulnerabilidad




Información de SI

Impacto Estimación de una consecuencia ocasionada por un nuevo

evento




Información de SI

Probabilidad Estimación de la ocurrencia de una evento teniendo en cuenta la

frecuencia de los hechos, históricos, la motivación, capacidad y

los recursos con que se cuentan los posibles atacantes, la

percepción de qué tan atractivo es el activo y susvulnerabilidades, entre otros.




Información de SI

Gestión de Riesgos Aplicación sistemática de políticas de administración,

procedimientos y prácticas a las actividades de identificar,

analizar, tratar y monitorear el riesgo.




Información de SI

Beneficios Decisiones más efectivas

Asignación de recursos más eficiente

Toma de decisiones transparente




Información de SI

Proceso de Gestión de Riesgos




Información de SI Marcos de Referencia

AZ/NZ 4360: estándar australiano y neozelandés de administración de riesgos.

NTC 5254: norma colombiana de gestión de riesgos

ISO 31000: administración del riesgo

ISO 27000: seguridad en sistemas de información

NIST 800-30/800-39: manejo de riesgos en tecnologías de información y gestión deriesgos(USA)

RISK IT: Framework que provee la vista de todos los riesgos relacionados con las TI(ISACA)

MAGERIT: metodología de análisis y gestión de riesgos de los Sistemas de Información

(Española)

OCTAVE: herramientas, técnicas y métodos para la planeación de estratégica de los

riesgos( Carnegie Mellon University)




Información de SI

No interesa el método, siempre debe: Identificar el activo de Información

Identificar vulnerabilidades

Identificar amenazas

Valorar el impacto de la perdida de integridad, confidencialidad

y disponibilidad del negocio

Valorar la posibilidad realista que exista la falla

Estimar el riesgo

Definir la opción de tratamiento(evitar, reducir, transferir,

aceptar)

Tomar las acciones definidas.




Información de SI

C u a l

i t a t i v o • Subjetivo

• Menor precisión

• No hay análisis decosto beneficio

• Poco complejo• Uso de observación

• Fácil de comunicar C u a n t

i t a t i v o • Objetivo

• Mayor precisión

• Análisis de costo beneficio

• Complejo• Uso de fórmulas

matemáticas

• Difícil de comunicarSemi cuantitativo

Tipos de análisis de riesgos




Información de SI

Análisis de riesgos cuantitativos Valor de activo(V)

Costo de reposición del activo, perdida de productividad, remplazo de

datos, propiedad intelectual, demandas, multas, sanciones, etc. Valor del

impacto. Factor de exposición (FE)

Es la proporción del valor de un activo que tiene probabilidad de ser

destruido por un riesgo en particular, expresada como porcentaje.

Single-time Loss Expantancy-Expectativa de Pérdida única

Cuando ocurre una amenaza, cuál es la perdida monetaria del activo.

Considere el valor del activo (V) por la exposición de la ocurrencia de la

amenaza, será igual a SLE.




Información de SI

Análisis de riesgos cuantitativos Annualized Rate of Ocurrance (ARO)

Cual es la probabilidad de la ocurrencia en una año

Annualized loss Exposure(ALE)

Valor representado por el proceso clásico de análisis de riesgoindicando la expectativa de pérdida para cada amenaza dada




Información de SI

Análisis de riesgos cuantitativos




Información de SI

Análisis de riesgos cuantitativos Ejemplo

El costo de un servidor es de 4000

El factor de exposición de servidor en caso de desastre es de 25%

La probabilidad de la ocurrencia de la amenaza es de una vez en 10 añosObjetivo: Costo de protección en el período<ALE

¿Cual es el valor del activo?¿FE?¿SLE?¿ARO?¿ALE?

$4000; 25%;1000;0.1;100




Información de SI

Análisis de riesgos cualitativos La magnitud del impacto y la probabilidad se describen en

forma detallada.

Se emplea en los siguientes casos:

Evaluación inicial para identificar riesgos que se van a evaluar másadelante

Cuando se consideran aspectos intangibles

Cuando no se cuenta con información suficiente y adecuada.




Información de SI

Análisis de riesgos cualitativos

Ejemplos

Es muy probable que se genere un impacto negativo en la

imagen de la organización a nivel nacional.

La probabilidad de que la organización pierda credibilidad

ante sus cliente es casi nula




Información de SI

Análisis de riesgos semi cuantitativos Se asignan valores a las escalas empleadas en el análisis

cualitativo

Los valores son representativos, no reales.

Se busca establecer prioridades entre los niveles de riesgo




Información de SI

Gestión de riesgos




Información de SI

Gestión de riesgos – Planear

Identificación de activos

Valoración de activos

Identificación de amenzas yvulnerabilidades

Valoración de la probabilidad de losescenarios de riesgo

Identificación y valoración decontroles

Cálculo de riesgos




Información de SI

Planear Identificar activo de información




Información de SI

Planear Valoración de Impacto




Información de SI

Planear Amenzas y Vulnerabilidades




Información de SI

Planear Valoración de la probabilidad




Información de SI

Amenazas y vulnerabilidades




Información de SI

Control Medio para gestionar el riesgo, incluyendo políticas,

procedimientos, directrices, prácticas o estructuras de la

organización que pueden ser de naturaleza administrativa,

técnica, de gestión o legal. Pueden mitigar la probabilidad y/o el impacto




Información de SI

Valoración de Controles




Información de SI

Niveles de Riesgo Riesgo inherente / neto: sin controles

Riesgo residual : remanente luego de definir acciones(controles,

salvaguardas)




Información de SI

Riesgo Inherente




Información de SI

Cálculo del riesgo inherente




Información de SI

Riesgo residual




Información de SI

Riesgo residual

Se puede detallar el

impacto en cada activo

Se puede detallar el

factor que se está

mitigando




Información de SI



Bibliografía

Seguridad WS 2012. Ing. Joshsua J González Días

9 análisis de riesgos sobre la información de si.pdf

Documents