auditoria y centro de computo magerit

7/25/2019 Auditoria y Centro de Computo magerit

1/18

21 de Octubre del 2015

UNIVERSIDAD LAICA

ELOY ALFARO DE MANABFACUL!AD DE CIENCIAS INFORM"!ICAS

Ingeniera en Sistemas

TEMA:Magerit

MATERIA:Auditoria y Centro de Computacin

NOMBRES Y APELLIDOS:Arias Medranda Josue AlejandroDelgado Alvia Carlos Eduardo

Delgado Mero Juan IsaacLoor Garca Jos Geovanny

Muentes a!ando "ctor Manuel

CURSO:#uinto Anual $%&

CATEDRTICO:Ing' %ec(er %riones

AO LECTIVO:)*+, - )*+.

DESCRIPCIN GENERAL DE MAGERIT


2/18

Hay varias aproximaciones al problema de analizar los riesgos soportados porlos sistemas TIC, como pueden ser guas informales, aproximacionesmetdicas y herramientas de soporte. Todas buscan obetivar el an!lisis deriesgos para saber cu!n seguros "o inseguros# son los sistemas y no llamarse a

enga$o. %l gran reto de todas estas aproximaciones es la compleidad delproblema al &ue se enfrentan' compleidad en el sentido de &ue hay muchoselementos &ue considerar y &ue, si no se es riguroso, las conclusiones ser!nde poco fiar. %s por ello &ue en (agerit se persigue una aproximacin metdica&ue no dee lugar a la improvisacin, ni dependa de la arbitrariedad delanalista.

Magerit)iguiendo la terminologa de la normativa I)* +---, (agerit responde a lo&ue se denomina /roceso de 0estin de los 1iesgos2, seccin 3.3"Implementacin de la 0estin de los 1iesgos2# dentro del (arco de 0estin

de 1iesgos2. %n otras palabras, (40%1IT implementa el /roceso de 0estinde 1iesgos dentro de un marco de trabao para &ue los rganos de gobiernotomen decisiones teniendo en cuenta los riesgos derivados del uso detecnologas de la informacin.

Hay varias aproximaciones al problema de analizar los riesgos soportados porlos sistemas TIC5 guas informales, aproximaciones metdicas y herramientasde soporte. Todas buscan obetivar el an!lisis de riesgos para saber cu!nseguros "o inseguros# son los sistemas y no llamarse a enga$o. %l gran reto detodas estas aproximaciones es la compleidad del problema al &ue seenfrentan' compleidad en el sentido de &ue hay muchos elementos &ueconsiderar y &ue, si no se es riguroso, las conclusiones ser!n de poco fiar. %spor ello &ue en (agerit se persigue una aproximacin metdica &ue no deelugar a la improvisacin, ni dependa de la arbitrariedad del analista.


3/18

(agerit persigue los siguientes obetivos5

Directos:1. Concienciar a los responsables de las organizaciones de informacin de la

existencia de riesgos y de la necesidad de gestionarlos.

2. *frecer un m6todo sistem!tico para analizar los riesgos derivados del usode tecnologas de la informacin y comunicaciones "TIC#.3. 4yudar a descubrir y planificar el tratamiento oportuno para mantener los

riesgos bao control.

Indirectos:. /reparar a la *rganizacin para procesos de evaluacin, auditora,

certificacin o acreditacin, seg7n corresponda en cada caso

Tambi6n se ha buscado la uniformidad de los informes &ue recogen loshallazgos y las conclusiones de las actividades de an!lisis y gestin de

riesgos5

Modeo de !aorCaracterizacin del valor &ue representan los activos para la *rganizacinas como de las dependencias entre los diferentes activos.

Ma"a de riesgos1elacin de las amenazas a &ue est!n expuestos los activos.

Decaraci#n de a"ica$iidad/ara un conunto de salvaguardas, se indica sin son de aplicacin en elsistema de informacin bao estudio o si, por el contrario, carecen desentido.

E!a%aci#n de sa!ag%ardas%valuacin de la eficacia de las salvaguardas existentes en relacin alriesgo &ue afrontan.

Estado de riesgoCaracterizacin de los activos por su riesgo residual' es decir, por lo &uepuede pasar to8mando en consideracin las salvaguardas desplegadas.

In&or'e de ins%&iciencias4usencia o debilidad de las salvaguardas &ue aparecen como oportunaspara reducir los riesgos sobre el sistema. %s decir, recoge lasvulnerabilidades del sistema, entendidas como puntos d6bilmente

protegidos por los &ue las amenazas podran materializarse.C%'"i'iento de nor'ati!a)atisfaccin de unos re&uisitos. 9eclaracin de &ue se austa y esconforme a la normativa correspondiente.

Pan de seg%ridadConunto de proyectos de seguridad &ue permiten materializar lasdecisiones de tratamiento de riesgos.


4/18

(enta)as de Magerit::as decisiones &ue deban tomarse y &ue tengan &ue ser validadas por ladireccin estar!n fundamentadas y ser!n f!cilmente defendibles.

Des!enta)as de Magerit:%l hecho de tener &ue traducir de forma directa todas las valoraciones envalores econmicos hace &ue la aplicacin de esta metodologa sea realmentecostosa.

ESTR*CT*RACI+N DE LA MET+D+L+GIA

:a versin ; y + de (agerit se ha estructurado en tres libros5 %l (6todo2, un


5/18

Riesgo:%s la medida de la posibilidad &ue existe en &ue se materialiceuna amenaza. Conociendo el riesgo ya podemos calcular la frecuencia.

Sa!ag%ardas 0%nciones Ser!icios / Mecanis'os:>n salvaguardaes un mecanismo de proteccin frente a las amenazas, reducen lafrecuencia de las amenazas y limitan el da$o causado por estas.

ACTI(+SIdentificacin de los 4ctivos protegibles del 9ominio (40%1IT tiene en cuentacinco grandes categoras de 4ctivos5

. %l entorno o soporte del )istema de Informacin, &ue comprende activostangibles "como edificaciones, mobiliario, lugares de trabao#,e&uipamiento de suministro auxiliar "energa, climatizacin,comunicaciones# y personal.

;. %l sistema de informacin propiamente dicho del 9ominio "hard?are,redes, soft?are, aplicaciones#.

+. :a propia informacin re&uerida, soportada o producida por el )istemade Informacin &ue incluye los datos informatizados, as como suestructuracin "formatos, cdigos, claves de cifrado# y sus soportes"tratables inform!ticamente o no#.

3. :as funcionalidades del 9ominio &ue ustifican al )istema deInformacin, incluido desde el personal usuario a los obetivospropuestos por la direccin del 9ominio.

@. *tros 4ctivos, de naturaleza muy variada, por eemplo la imagen de laorganizacin, la confianza &ue inspire, el fondo de comercio, la intimidadde las personas, etc.

%emplo5 >n fallo en la red de conexin de datos "4ctivo de tipo %ntorno#provoca la imposibilidad de alimentar el )istema de Informacin "por eemplode una sucursal bancaria# &ue no obtiene as la Informacin de las cuentas desus clientes, con lo &ue no puede eercer las funcionalidades de la organizacin"atender a los clientes# y pierde imagen ante 6stos, como eemplo de esosotros activos.

RIESG+S%l riesgo es la posibilidad de &ue se produzca un impacto en un 4ctivo o en el9ominio./ara (40%1IT el c!lculo del riesgo ofrece un Indicador &ue permite tomar

decisiones por comparacin explcita con un >mbral de 1iesgo determinado' osea una propiedad de la relacin Aulnerabilidad BImpacto y por tanto de larelacin entre 4ctivos y 4menazas.

AMENA4ASConocimiento de las 4menazas.:as amenazas se definen como los eventos &ue pueden desencadenar unincidente en la organizacin, produciendo da$os materiales o p6rdidasinmateriales en sus activos.DE 9esastres naturales5 )ucesos &ue pueden ocurrir sin intervencin de losseres humanos como causa directa o indirecta.


6/18

IE 9e origen industrial5 )ucesos &ue pueden ocurrir de forma accidental,derivados de la actividad humana de tipo industrial. %stas amenazas puedendarse de forma accidental o deliberada.%E %rrores y fallos no intencionados5 =allos no intencionales causados por laspersonas.

4E 4ta&ues intencionados5 =allos deliberados causados por las personas.

%rrores y amenazas constituyen frecuentemente las dos caras de la mismamoneda5 algo &ue le puede pasar a los activos sin animosidad odeliberadamente. )e pueden dar hasta tres combinaciones5

4menazas &ue slo pueden ser errores, nunca ata&ues deliberados. 4menazas &ue nunca son errores5 siempre son ata&ues deliberados. 4menazas &ue pueden producirse tanto por error como

deliberadamente.

(40%1IT considera distintos FproductoresG de las 4menazas "no humanos,humanos involuntarios o humanos voluntarios# para tener en cuenta ladiversidad de sus causas, independientemente de sus consecuencias. Cadatipo de productores genera un tipo de causas de los cambios del estado deseguridad en los 4ctivos5 accidentes, errores e intervenciones intencionales,6stas realizadas con presencia del agresor por FteleaccinG "usando medios decomunicacin#. :as 4menazas se clasifican as5

Gr%"o A de Accidentes.45 4ccidente fsico de origen industrial5 incendio, explosin, inundacin porroturas, contaminacin por industrias cercanas o emisiones radioel6ctricas.

4;5 4vera5 de origen fsico o lgico, debida a un defecto de origen osobrevenida durante el funcionamiento del sistema.4+5 4ccidente fsico de origen natural5 riada, fenmeno ssmico o volc!nico,meteoro, rayo, corrimiento de tierras, avalancha, derrumbe.435 Interrupcin de servicios o de suministros esenciales5 energa, agua,telecomunicacin, fluidos y suministros diversos.4@5 4ccidentes mec!nicos o electromagn6ticos5 cho&ue, cada, cuerpo extra$o,radiacin, electrost!tica.

Gr%"o E de Errores.%5 %rrores de utilizacin ocurridos durante la recogida y transmisin de datos

o en su explotacin por el sistema.%;5 %rrores de dise$o existentes desde los procesos de desarrollo del soft?are"incluidos los de dimensionamiento, por la posible saturacin#.%+5 %rrores de ruta, secuencia o entrega de la informacin en tr!nsito.%35 Inadecuacin de monitorizacin, trazabilidad, registro del tr!fico deinformacin.

Gr%"o P de A'ena-as Intencionaes Presenciaes./5 4cceso fsico no autorizado con inutilizacin por destruccin o sustraccin"de e&uipos, accesorios o infraestructura#./;5 4cceso lgico no autorizado con intercepcin pasiva simple de la

informacin.


7/18

/+5 4cceso lgico no autorizado con alteracin o sustraccin de la informacinen tr!nsito o de configuracin' es decir, reduccin de la confidencialidad paraobtener bienes o servicios aprovechables "programas, datos#./35 4cceso lgico no autorizado con corrupcin o destruccin de informacinen tr!nsito o de configuracin5 es decir, reduccin de la integridad yBo

disponibilidad del sistema sin provecho directo "sabotae inmaterial, infeccinvrica#./@5 Indisponibilidad de recursos, sean humanos "huelga, abandono, rotacin# ot6cnicos "desvo del uso del sistema, blo&ueo#.

Gr%"o T de A'ena-as Intencionaes Teeact%adas.T5 4cceso lgico no autorizado con intercepcin pasiva "para an!lisis detr!fico#.T;5 4cceso lgico no autorizado con corrupcin o destruccin de informacinen tr!nsito o de configuracin.T+5 4cceso lgico no autorizado con modificacin "Insercin, 1epeticin# de

informacin en tr!nsito.T35 )uplantacin de *rigen "del emisor o reemisor, Fman in the middleG# o deIdentidad.T@5 1epudio del *rigen o de la 1ecepcin de informacin en tr!nsito.

(*LNERA5ILIDADESEsti'aci#n de as (%nera$iidades.:a Aulnerabilidad de un 4ctivo se define como la potencialidad o posibilidad deocurrencia de la materializacin de una 4menaza sobre dicho 4ctivo. %s unapropiedad de la relacin entre un 4ctivo y una 4menaza y se clasifica deacuerdo con 6stos "conviene centrarse en las amenazas m!s f!cilmentematerializarles yBo m!s impactantes#.:a vulnerabilidad se expresa con un valor decimal, comprendido entre losvalores extremos5 - "la 4menaza no afecta al 4ctivo# y "no alcanzable puessignifica la agresin permanente#. (40%1IT evita cuidadosamente lost6rminos probable y probabilidad al definir la Aulnerabilidad, mientras &ueemplea los conceptos de potencial y potencialidad como m!s cercanos altr!nsito de amenaza materializarle en agresin.%sa potencialidad se convierte en frecuencia para los casos de calculabilidaddefinida "cifra de cu!ntas veces falla una dis&uetera por a$o# y en posibilidadpara los casos de calculabilidad m!s difusa "&ue (40%1IT tambi6n trata con

t6cnicas avanzadas especiales#.(40%1IT mide la Aulnerabilidad por la frecuencia histrica cuantitativa de lamaterializacin de la 4menaza sobre el 4ctivo, cuando es factible "fiabilidad deun componente hard?are, n7mero de fallos de soft?are#' o bien por lapotencialidad cualitativa de dicha materializacin, cuya primera aproximacinlleva a emplear una escala vista en las 4menazas potenciales "consideradasahora reales, o sea agresiones#. /or eemplo5

/romedio medio entre ocurrencias %scala subetivamenor de semana =recuencia muy altamenor de ; meses =recuencia alta

menor de a$o =recuencia media


8/18

menor de a$os =recuencia baasuperior a a$os =recuencia muy baa

%emplo5 >na 4menaza de Finundacin por desbordamiento de torrenteG relativaa un 4ctivo Fcentro de c!lculoG se plasma en una Aulnerabilidad del 4ctivo anteesa 4menaza. :a Aulnerabilidad depende tanto de la frecuencia de lasinundaciones en la zona como de la ubicacin del propio centro de c!lculo"cercana al lecho, situacin en un stano, etc.#.

IMPACT+SIdenti&icaci#n de I'"actos.%l Impacto en un 4ctivo es la consecuencia sobre 6ste de la materializacin deuna 4menaza en agresin, consecuencia &ue puede desbordar ampliamente el9ominio y re&uerir la medida del da$o producido a la organizacin. %s ladiferencia en las estimaciones del estado de seguridad del 4ctivo obtenidasantes y despu6s del evento de agresin.%l 1esponsable del 9ominio protegible para realizar la estimacin crucial de losImpactos se apoya en la tipologa de Impactos de (40%1IT, orientada a lanaturaleza de las Consecuencias de las combinaciones 4ctivo84menaza.(40%1IT considera tres grandes grupos de Impactos, seg7n &ue susConsecuencias sean reductoras del estado de seguridad del 4ctivo agredidodirectamente "en este caso el Impacto se compone de su 0ravedad intrnsecay un 4gravante o 4tenuante circunstancial#' o indirectamente "y en este caso,de forma cualitativa o cuantitativa#. %ntonces el Impacto ser!5

Cualitativo con p6rdidas funcionales "de los sub8estados de seguridad#del 4ctivo. bien cualitativo con p6rdidas org!nicas "de fondo de comercio, da$o de

personas#. bien cuantitativo si las consecuencias se puede traducir a dinero.

Ciertos Impactos suponen consecuencias cualitativas funcionales sobre lossub8estados5

E S%$6estado de A%tenticaci#n SA%s la propiedad &ue permite &ue no haya duda de &ui6n se haceresponsable de una informacin o prestacin de un servicio, tanto a finde confiar en 6l como de poder perseguir posteriormente losincumplimientos o errores. Contra la autenticidad se dan suplantacionesy enga$os &ue buscan realizar un fraude. :a autenticidad es la basepara poder luchar contra el repudio y, como tal, fundamenta el comercioelectrnico o la administracin electrnica, permitiendo confiar sinpapeles ni presencia fsica.

E S%$6estado de Con&idenciaidad SC%s la propiedad &ue asegura &ue la informacin llegue solamente a las

personas autorizadas. :a confidencialidad es una propiedad de difcilrecuperacin. >na violacin de la confidencialidad puede perfectamente


9/18

menoscabar la confianza de los dem!s actores en la organizacin &ueno es diligente en el mantenimiento del secreto. 4dem!s estos fallospuede suponer el incumplimiento de leyes y compromisos contractualesrelativos a la custodia de los datos.

E S%$6estado de Integridad%s la propiedad de mantener los recursos libres de cual&uier tipo demodificacin no autorizada. :a integridad de la informacin se ve violadacuando un actor "empleado, programa, mal?are o proceso#, poraccidente o mala intencin, altera de alguna manera los datos ya seamodific!ndolos o borr!ndolos. Toda modificacin de la informacinimportante de una organizacin debe ser autorizada y registrada.

E S%$6estado de Dis"oni$iidad SD%s la propiedad &ue garantiza la disposicin de los recursos a serusados cuando sea necesario. :a carencia de disponibilidad supone unainterrupcin del servicio. :a disponibilidad afecta directamente a laproductividad de las organizaciones.

4 estas dimensiones cannicas de la seguridad se pueden a$adir otrasderivadas &ue nos acer&uen a la percepcin de los usuarios de los sistemas deinformacin5

A%tenticidad: /ropiedad o caracterstica consistente en &ue unaentidad es &uien dice ser o bien &ue garantiza la fuente de la &ueproceden los datos. Contra la autenticidad de la informacin podemos

tener manipulacin del origen o el contenido de los datos. Contra laautenticidad de los usuarios de los servicios de acceso, podemos tenersuplantacin de identidad.

Tra-a$iidad: 4seguramiento de &ue en todo momento se podr!determinar &ui6n hizo &u6 y en &u6 momento. :a trazabilidad esesencial para analizar los incidentes, perseguir a los atacantes yaprender de la experiencia. :a trazabilidad se materializa en laintegridad de los registros de actividad.

(40%1IT usa esta escala simple, v!lida para sistemas de informacinnormales en los sectores p7blicos y privado, &ue se usa con mucha frecuencia

para apreciar globalmente el Impacto "como se detalla despu6s#5

(enos de una hora (enos de un da laborable (enos de una semana (enos de un mes (!s de un mes

>na parte de estos deterioros de los sub8estados de seguridad tienen Impactoscon consecuencias cuantitativas de varios tipos5

D5 /6rdidas de valor econmico, ligadas a activos inmobiliarios oinventariables "costes de reposicin de la funcionalidad, gastos de tasar,


10/18

sustituir, reparar o limpiar lo da$ado, edificios y obras, instalaciones,computadores, redes#.

D;5 /6rdidas indirectas, valorables y ligadas a intangibles en general noinventariados "datos, programas, documentacin, procedimientos#.

D+5 /6rdidas indirectas, valorables econmicamente, unidas a

disfuncionalidades tangibles "coste del retraso o interrupcin defunciones operacionales de la organizacin' la perturbacin o ruptura delos fluos y ciclos productivos, incluido el deterioro de la calidad de 6stos'y la incapacidad de cumplimentar las obligaciones contractuales oestatutarias#.

D35 /6rdidas econmicas relativas a responsabilidad legal delFpropietarioG del 9ominio protegible siniestrado debido a los peruicioscausados a terceros "multas#.

*tros deterioros de los sub8estados de seguridad tienen Impactos con

consecuencias cualitativas org!nicas de varios tipos5 :5 /6rdida de fondos patrimoniales intangibles5 conocimientos"documentos, datos o programas# no recuperables, informacinconfidencial.

:;5 1esponsabilidad penal por Incumplimiento de obligaciones. :+5 /erturbacin o situacin embarazosa poltico8administrativa

"credibilidad, prestigio, competencia poltica#. :35 9a$o a las personas.

%stimacin de Impactos (40%1IT indica varias formas de valorar estosimpactos5

Aaloracin econmica directa de las /6rdidas Cuantitativas cuando esposible.

%stimacin por niveles usando una escala monetaria &ue representa lascantidades a emplear para paliar los da$os producidos por una amenazamaterializada en la organizacin.

%stimacin por Diveles de 0ravedad usando las escalas cualitativas delas /6rdidas cualitativas : org!nicas o de las funcionales relacionadascon reduccin de los sub8estados )4, )C o )I.

Aaloracin en tiempo de la falta de disponibilidad de alg7n activoimportante.

%n un primer intento intente escoger como medida del impacto el coste dereposicin del activo da$ado' cuando esta medida no es factible o no tienesentido, intenta apreciar el coste de reposicin de la funcin realizada por el4ctivo da$ado, a partir del deterioro de alguno de sus sub8estados deseguridad. 4s5 :a p6rdida con gravedad alta del sub8estado de disponibilidad de un 4ctivode tipo informacin "reponerle con gran dificultad# afecta total o parcialmente auna funcionalidad de la *rganizacin durante un tiempo determinado.:a misma p6rdida con gravedad alta del sub8estado de confidencialidad nohace perder facturacin actual, pero puede haber dado la lista de pedidos a uncompetidor &ue la usar! para hacer perder clientes y su facturacin futura'


11/18

p6rdida posiblemente mucho m!s alta, si no se toman las medidas adecuadasen el intervalo.

RIESG+S

%l riesgo es la posibilidad de &ue se produzca un impacto en un 4ctivo o en el9ominio.

Mecanis'os de sa!ag%arda>na =uncin o un )ervicio de salvaguarda es una accin gen6rica &ue reduce

el 1iesgo mientras &ue un (ecanismo de salvaguarda es el procedimiento odispositivo, fsico o lgico, capaz de reducir el riesgo. :os mecanismos desalvaguarda se valoran directamente por su coste t6cnico u organizativo. 4ct7ade dos formas posibles, en general alternativas5

Deutralizando o blo&ueando la materializacin de la 4menaza antes deser agresin.

(eorando el estado de seguridad del 4ctivo ya agredido, por reduccindel Impacto.

Gesti#n de Riesgos

%n la 0estin de riesgos se identifican las posibles funciones y servicios desalvaguarda reductores del riesgo calculado, se seleccionan los aceptables enfuncin de las existentes y otras restricciones y se especifican los elegidosfinalmente.

Seecci#n de sa!ag%ardas%n la )eleccin de salvaguardas se escogen los mecanismos de salvaguarda aimplantar, se elabora una orientacin de ese plan de implantacin, seestablecen los procedimientos de seguimiento para la implantacin y serecopila la informacin necesaria.Hay &ue planificar el conunto de salvaguardas pertinentes para ataar tanto el

impacto como el riesgo, reduciendo bien la degradacin del activo"minimizando el da$o#, bien reduciendo la frecuencia de la amenaza"minimizando sus oportunidades#.


12/18

CAT7L+G+ DE ELEMENT+S

*frece unas pautas y elementos est!ndar en cuanto a5 tipos de activos,dimensiones de valoracin de los activos, criterios de valoracin de los activos,amenazas tpicas sobre los sistemas de informacin y salvaguardas aconsiderar para proteger sistemas de informacin. )e persiguen dos obetivos5

/or una parte, facilitar la labor de las personas &ue acometen el proyecto, en elsentido de ofrecerles elementos est!ndar a los &ue puedan adscribirser!pidamente, centr!ndose en lo especfico del sistema obeto del an!lisis./or otra, homogeneizar los resultados de los an!lisis, promoviendo unaterminologa y unos criterios uniformes &ue permitan comparar e inclusointegrar an!lisis realizados por diferentes e&uipos.Aaloracin de 4ctivos.

Ti"os de acti!os:)E )ervicios5 =uncin &ue satisface una necesidad de los usuarios.9E 9atos B Informacin5 %lementos de informacin &ue, de forma singular oagrupada de alguna forma, representan el conocimiento &ue se tiene de algo.)JE 4plicaciones "soft?are#5 Con m7ltiples denominaciones "programas,aplicativos, desarrollos, etc.# son tareas &ue han sido automatizadas para sudesempe$o por un e&uipo inform!tico.HJE %&uipos inform!ticos "hard?are#5 9cese de bienes materiales, fsicos,destinados a soportar directa o indirectamente los servicios &ue presta laorganizacin, siendo pues depositarios temporales o permanentes de los datos,soporte de eecucin de las aplicaciones inform!ticas o responsables del

procesado o la transmisin de datos.C*(E 1edes de comunicaciones5 Incluyendo tanto instalaciones dedicadascomo servicios de comunicaciones contratados a terceros.)IE )oportes de informacin5 9ispositivos fsicos &ue permiten almacenarinformacin de forma permanente o, al menos, durante largos periodos detiempo.4>KE %&uipamiento auxiliar5 %&uipos &ue sirven de soporte a los sistemas deinformacin, sin estar directamente relacionados con datos.:E Instalaciones5 :ugares donde se hospedan los sistemas de informacin ycomunicaciones./E /ersonal5 /ersonas relacionadas con los sistemas de informacin.

Di'ensiones de !aoraci#n de %n acti!o .


13/18

9E disponibilidad5 4seguramiento de &ue los usuarios autorizados tienenacceso cuando lo re&uieran a la informacin y sus activos asociados.IE integridad de los datos5 0aranta de la exactitud y completitud de lainformacin y los m6todos de su procesamiento.CE confidencialidad de los datos5 4seguramiento de &ue la informacin es

accesible slo para a&uellos autorizados a tener acceso.4L)E autenticidad de los usuarios del servicio5 4seguramiento de la identidad uorigen.4L9E autenticidad del origen de los datos5 4seguramiento de la identidad uorigen.TL)E trazabilidad del servicio5 4seguramiento de &ue en todo momento sepodr! determinar &ui6n us &u6 y en &u6 momento.TL9E trazabilidad de los datos5 4seguramiento de &ue en todo momento sepodr! determinar &ui6n hizo &u6 y en &u6 momento.

Criterios de !aoraci#n

/ara valorar los activos vale, tericamente, cual&uier escala de valores. 4efectos pr!cticos es sin embargo muy importante &ue5

)e use una escala com7n para todas las dimensiones, permitiendocomparar riesgos.

)e use una escala logartmica, centrada en diferencias relativas de valor,&ue no en diferencias absolutas.

)e use un criterio homog6neo &ue permita comparar an!lisis realizadospor separado.

%l 4ctivo puede tener dos formas cl!sicas de valoracin, cualitativa y

cuantitativa. :a valoracin cualitativa corresponde a su valor de uso y lacuantitativa a su valor de cambio "cuando 6ste tiene sentido para ciertos tiposde 4ctivo#. (uchos 4ctivos del 9ominio en estudio no son inventariables ensentido contable o como Fvalor de cambioG' pero no por ello dean de tenerFvalor de usoG para la *rganizacin "e incluso a veces un valor decisivo#.

Sa!ag%ardasHay diferentes aspectos en los cuales puede actuar una salvaguarda paraalcanzar sus obetivos de limitacin del impacto yBo mitigacin del riesgo5

/1E )e re&uieren procedimientos tanto para la operacin de las salvaguardas

preventivas como para la gestin de incidencias y la recuperacin tras lasmismas./%1E poltica de personal, &ue es necesaria cuando se consideran sistemasatendidos por personal. :a poltica de personal debe cubrir desde las fases deespecificacin del puesto de trabao y seleccin, hasta la formacin continua.

)oluciones t6cnicas, frecuentes en el entorno de las tecnologas de lainformacin, &ue pueden ser5)JE aplicaciones "soft?are#.


14/18

HJE dispositivos fsicos.C*(E proteccin de lascomunicaciones.=I)E seguridad fsica, de loslocales y !reas de trabao.

G*IA DE TECNICAS

/roporciona algunas t6cnicas &ue se emplean habitualmente para llevar a cabo

proyectos de an!lisis y gestin de riesgos

T8cnicas es"ec9&icas)e han considerado de especial inter6s5

1. *so de ta$as "ara a o$tenci#n sencia de res%tados.%n el an!lisis de riesgos hay &ue trabaar con m7ltiples elementos &uehay &ue combinar en un sistema para ordenarlo por importancia sin &uelos detalles perudi&uen la visin de conunto. :a experiencia hademostrado la utilidad de m6todos simples de an!lisis llevados a cabo

por medio de tablas &ue, sin ser muy precisas, s aciertan en laidentificacin de la importancia relativa de los diferentes activossometidos a amenazas. )ea la escala siguiente 7til para calificar el valorde los activos, la magnitud del impacto y la magnitud del riesgo5

(M5 muy baoM5 bao(5 medio45 alto(45 muy alto

2. T8cnicas agor9t'icas "ara a o$tenci#n de res%tados ea$orados.9cese an!lisis de la distincin y separacin de las partes de un todohasta llegar a conocer sus principios o elementos.

3. Ar$oes de ata%e "ara co'"e'entar os ra-ona'ientos de %8a'ena-as se ciernen so$re %n siste'a de in&or'aci#n.:os !rboles de ata&ue son una t6cnica para modelar las diferentesformas de alcanzar un obetivo. %l obetivo del atacante se usa como razdel !rbol. 4 partir de este obetivo, de forma iterativa e incremental sevan detallando como ramas del !rbol las diferentes formas de alcanzara&uel obetivo, convirti6ndose las ramas en obetivos intermedios &ue a


15/18

su vez pueden refinarse. :os posibles ata&ues a un sistema se acabanmodelando como un bos&ue de !rboles de ata&ue. >n !rbol de ata&uepasa revista a cmo se puede atacar un sistema y por tanto permiteidentificar &u6 salvaguardas se necesita desplegar para impedirlo.Tambi6n permiten estudiar la actividad del atacante y por tanto lo &ue

necesita saber y lo &ue necesita tener para realizar el ata&ue' de estaforma es posible refinar las posibilidades de &ue el ata&ue se produzcasi se sabe a &ui6n pudiera interesar el sistema yBo la informacin y secruza esta informacin con la habilidades &ue se re&uieren.

T8cnicas Generaes)on utilizadas en el desarrollo de un proyecto de an!lisis y gestin de riesgos.

)e han considerado de especial inter6s5

Anisis coste6$ene&icioTiene como obetivo fundamental proporcionar una medida de los costesen &ue se incurre en la realizacin de un proyecto y comparar dichoscostes previstos con los beneficios esperados de la realizacin de dichoproyecto. /ara larealizacin delan!lisiscosteBbeneficio seseguir!n los

siguientes pasos5

N /roducir estimaciones decostesBbeneficios5 )erealizar! una lista detodo lo &ue esnecesario paraimplementar elsistema y una lista de los beneficios esperados del nuevo sistema.

"ad&uisicin de hard?are y soft?are, gastos de mantenimiento dehard?are y soft?are anteriores#. %n la estimacin de beneficios sepueden considerar cuestiones como incremento de la productividad,reutilizacin de plataformas sustituidas, ahorros de ad&uisicin ymantenimiento de soft?are y hard?are#.

N 9eterminar la viabilidad del proyecto y su aceptacin.

Diagra'a de &%)o de datos/ermite representar gr!ficamente los lmites del sistema y la lgica de

los procesos, estableciendo &u6 funciones hay &ue desarrollar. )e


16/18

compone de los siguientes elementos5 %ntidad externa, proceso,4lmac6n de datos, =luo de datos.

Diagra'a de "rocesos>n proceso de la *rganizacin se descompone en una serie deactividades "&u6 se hace# y 6stas en procedimientos "cmo se hace#.

T8cnicas gr&icasN 9iagramas de 0antt5 :os diagramas 04DTT ayudan a larepresentacin de actividades y recursos en funcin del tiempo. %lobetivo de los 9iagramas 04DTT consiste en facilitar la comprensin delos detalles de un plan y el progreso en su eecucin.

N /or puntos y lneas5 %s la forma m!s cl!sica de presentacin deresultados. )e limita a usar los ees cartesianos usando las abscisaspara recoger los datos y las ordenadas para mostrar su valor.

N /or barras5 :os diagramas de barras disponen los elementos en unascoordenadas cartesianas convencionales5 los elementos a considerar enun ee y los valores en elotro ee

N 0r!ficos de FradarG5%stos gr!ficosrepresentan las distintasvariables o factores del

fenmeno en estudiosobre ees o radios &ueparten de un centro.%stos radios, tantoscomo factores, segrad7an pararepresentar sus nivelesy posibles umbrales enescala normal ologartmica, seg7n

convenga.

N 9iagramas de /areto5 >na gr!fica de /areto es utilizada para separargr!ficamente los aspectos m!s significativos de un problema &ue ele&uipo sepa dnde dirigir sus esfuerzos para meorar. 1educir losproblemas m!s significativos "las barras m!s largas en una gr!fica/areto# servir! m!s para una meora general &ue reducir los m!spe&ue$os.

N 9iagramas de tarta5 %stos diagramas presentan los datos como

fracciones de un crculo, distribuidos los +-O de 6ste en proporcin al


17/18

valor &ue es representado en cada seccin. :a proporcin suele serlineal' rara vez logartmica.

Pani&icaci#n de Pro/ectos

:as t6cnicas del camino crtico "C/ P Critical /ath# y /%1T "/rogram%valuation and 1evie? Techni&ue# fueron desarrolladas hacia Q@- conel obetivo de modelar proyectos compleos, estimar su tiempo derealizacin y analizar las consecuencias &ue sobre el conunto tendrauna desviacin en una tarea.

Sesiones de Tra$a)o9ependiendo del tipo de sesin &ue se realice, los obetivos pueden ser5obtener informacin, comunicar resultados, reducir el tiempo dedesarrollo, activar la participacin de usuarios y directivos o aumentar la

calidad de los resultados. :as sesiones de trabao pueden ser de variostipos en funcin de las personas &ue participen en ellas, el obetivo &uese persiga y el modo de llevarlas a cabo. :as entrevistas y las reunionesson un tipo de sesiones de trabao dirigidas a obtener la informacin.

(aoraci#n De";i:a t6cnica 9elphi es un instrumento de uso m7ltiple adecuada para(agerit &ue se utiliza con muy variados obetivos5 Identificar problemas,desarrollar estrategias para la solucin de problemas, fiando un rangode alternativas posibles, identificar factores de resistencia en el proceso

de cambio, establecer previsiones de futuro sobre la evolucin de lastendencias &ue se observan en un determinado campo o sector ycontrastar opiniones en un tema abarcando un amplio campo dedisciplinas o sectores

Mibliografa%spa$a, (. d.80. "*ctubre de ;-;#. Portal de Administracin Electrnica PAe.

*btenido de TRT>:*5 (40%1IT P versin +.-. (etodologa de 4n!lisis y0estin de 1iesgos de los )istemas de Informacin.5:ibro :*5 (40%1IT P versin +.-. (etodologa de 4n!lisis y


18/18

0estin de 1iesgos de los )istemas de Informacin.5:ibro + /)8CT--;[email protected]

https5BBseguridadinformaticaufps.?iUispaces.comB(40%1IT

auditoria y centro de computo magerit

Documents