PILARPILARPROCEDIMIENTO INFORMÁTICO LÓGICO DE ANÁLISIS DE RIESGOS

SOFTWARE DE ANALISIS DE RIESGOS Y AYUDA DE DECTECCION DE VULNERABILIDADES

PRESENTADO POR:

DAVID ORTEGAEMILIO BATISTA HIMLAURA ROSASROBERTO QUIROZJOSÉ RAMEA

MGTR: VIEIRA GONZALEZ

PROCEDIMIENTO INFORMÁTICO LÓGICO DE ANÁLISIS DE RIESGOS

SOFTWARE DE ANALISIS DE RIESGOS Y AYUDA DE

PILARPILARPROCEDIMIENTO INFORMÁTICO LÓGICO DE ANÁLISIS DE RIESGOSPROCEDIMIENTO INFORMÁTICO LÓGICO DE ANÁLISIS DE RIESGOS

PILARPILAR

• Consiste en una aplicación informáticasus relaciones de interdependencia yel sistema, permite introducir las amenazasdisponibilidad, integridad, confidencialidad,para derivar los riesgos potenciales sobre

• Una vez conocidos los riesgos, sesalvaguardas y estimar el riesgo residualproceso continuo y recurrente en elmejorando regularmente para afrontarconfianza que el sistema merece para

informática que compila los activos del sistema,su valor para la organización. Conocido

amenazas posibles en los aspectos deconfidencialidad, autenticidad y trazabilidad,

sobre el sistema.

se pueden determinar una serie deresidual. En tratamiento del riesgo es un

el que el sistema de potección se vaafrontar nuevos riesgos y aumentar la

los responsables y los usuarios.

3

ANÁLISIS CUALITATIVO EN PILARANÁLISIS CUALITATIVO EN PILAR

PILAR puede realizar un análisis cualitativo,discretos para la valoración de losrecomienda siempre en primer lugar,cuantitativo detallado. Un análisis cualitativo

• Identificar los activos más significativos

• Identificar el valor relativo de los activos

• Identificar las amenazas más relevantes

• Identificar las salvaguardas presentes en el

• establecer claramente los activos críticos (los que están sujetos a un riesgo máximo)

ANÁLISIS CUALITATIVO EN PILARANÁLISIS CUALITATIVO EN PILAR

cualitativo, usando una serie de niveleslos activos. Un análisis cualitativo se

lugar, antes de que se intente un análisiscualitativo permite:

significativos

activos

relevantes

las salvaguardas presentes en el sistema

claramente los activos críticos (los que están sujetos a un riesgo

4

ANÁLISIS CUANTITATIVO EN PILARANÁLISIS CUANTITATIVO EN PILAR

PILAR puede realizar un análisis cuantitativo detallado

• Detalla las consecuencias económicas de la materialización de una amenaza en un activo

• Estima la tasa anual de ocurrencia de amenazas

• Detalla el coste de despliegue y mantenimiento de las salvaguardas

• Permite ser más preciso en la planificación de gastos de cara a un plan de mejora de seguridad

ANÁLISIS CUANTITATIVO EN PILARANÁLISIS CUANTITATIVO EN PILAR

PILAR puede realizar un análisis cuantitativo detallado:

las consecuencias económicas de la materialización de una amenaza en un

amenazas

Detalla el coste de despliegue y mantenimiento de las salvaguardas

Permite ser más preciso en la planificación de gastos de cara a un plan de mejora de

5

AMENAZAS EN PILARAMENAZAS EN PILARModelo de Amenazas:

• Se denomina modelo de amenazas a la terminología utilizada para concretar la valoración de las amenazas: probabilidad y degradación

• La probabilidad de una amenaza es un asunto difícil de explicar. PILAR permite varias maneras de plasmar las posibilidades que una amenaza

Video de 15 minutos , https://www.youtube.com/watch?v=EgiYIIJ8WnU

Se denomina modelo de amenazas a la terminología utilizada para concretar la valoración de las amenazas: probabilidad y degradación.

La probabilidad de una amenaza es un asunto difícil de explicar. PILAR permite varias maneras de plasmar las posibilidades que una amenaza tiende de ocurrir.

, https://www.youtube.com/watch?v=EgiYIIJ8WnU

6

PROCEDIMIENTOS DE SEGURIDAD EN PILARPROCEDIMIENTOS DE SEGURIDAD EN PILAR

Cada sistema requiere procedimientos de seguridad. Es decir, instrucciones claras en cómo proceder para las actividades rutinarias, y cómo escalar lo que no está escrito.

Es decir, cada procedimiento determina

• Quién debe

• hacer qué,

• Cuándo,

• Y qué registro debe dejar tras de sí la actuación

Los procedimientos pueden ser más o menos eficaces en cada fase del proyecto.

PROCEDIMIENTOS DE SEGURIDAD EN PILARPROCEDIMIENTOS DE SEGURIDAD EN PILAR

Cada sistema requiere procedimientos de seguridad. Es decir, instrucciones claras en cómo proceder para las actividades rutinarias, y cómo escalar lo que no está escrito.

• Y qué registro debe dejar tras de sí la actuación.

Los procedimientos pueden ser más o menos eficaces en cada fase del proyecto.

7

NIVELES DE VALORACIÓN

• Los activos y los impactos se valoran cualitativamente según una escala de 0 hasta 10.Los criterios asociados a cada nivel (es decir, argumentos que se pueden utilizar para establecer cierto nivel) se pueden consultar sobre las pantallas. Sin embargo, el resumen siguiente puede ayudar a encontrar el nivel correcto:

NIVELES DE VALORACIÓN

8

NIVELES DE MADUREZ EN PILARNIVELES DE MADUREZ EN PILAR

PILAR utiliza niveles de madurez para evaluar salvaguardas según el modelo de madurez (CMM) usado para calificar la madurez de procesos.

NIVELES DE MADUREZ EN PILARNIVELES DE MADUREZ EN PILAR

PILAR utiliza niveles de madurez para evaluar salvaguardas según el modelo de madurez (CMM)

9

NIVELES DE CRITICIDAD EN PILARNIVELES DE CRITICIDAD EN PILAR

PILAR estima los riesgos según una escala simple de seis valores:

NIVELES DE CRITICIDAD EN PILARNIVELES DE CRITICIDAD EN PILAR

PILAR estima los riesgos según una escala simple de seis valores:

10

IMPACTO Y RIESGO EN PILARIMPACTO Y RIESGO EN PILAR

El impacto es un indicador de qué puede suceder cuando ocurren las amenazas.

El riesgo es un indicador de lo que probablemente suceda por causa de las amenazas.

El impacto y el riesgo se mitigan por medio de salvaguardas, viéndose reducidos a valores residuales

El impacto y el riesgo, el potencial y los valores residuales, constituyen información importante para tomar decisiones en materia de seguridad por ejemplo:

• Activos a supervisar

• Salvaguardas a desplegar o a mejorar

• Aceptación de riesgos operacionales

IMPACTO Y RIESGO EN PILARIMPACTO Y RIESGO EN PILAR

El impacto es un indicador de qué puede suceder cuando ocurren las amenazas.

El riesgo es un indicador de lo que probablemente suceda por causa de las amenazas.

El impacto y el riesgo se mitigan por medio de salvaguardas, viéndose reducidos a valores residuales.

El impacto y el riesgo, el potencial y los valores residuales, constituyen información importante para tomar decisiones en materia de seguridad por ejemplo:

11

RESULTADOS Y RESULTADOS Y VENTAJASVENTAJASDE LA HERRAMIENTA PILARDE LA HERRAMIENTA PILAR

Resultados1 Impacto potencial y residual.

2 Riesgo potencial y residual.

3 Mapa de riesgos.

4 Plan de mejora de la seguridad

5 Monitorización continúa del Estado de Riesgo

OBTENIDOS CON OBTENIDOS CON EL USO EL USO DE LA HERRAMIENTA PILARDE LA HERRAMIENTA PILAR

Ventajas1 Conocer los riesgos a fin de poder

tratarlos2 Conocer los riesgos a fin de poder

tratarlos3 Conocer el grado de cumplimiento de

diferentes perfiles de seguridad: 27002, protección de datos de carácter personal, esquema nacional de seguridad, etc.

4 Implementar la metodología Magerit e ISO/IEC 27005.

12

CONCEPTO GRAFICO DE PILAR:CONCEPTO GRAFICO DE PILAR:CONCEPTO GRAFICO DE PILAR:CONCEPTO GRAFICO DE PILAR:

13

DIAGRAMA UTILIZACION DE LA HERRAMIENTA DIAGRAMA UTILIZACION DE LA HERRAMIENTA PILARPILAR

UTILIZACION DE LA HERRAMIENTA PILAR V 5.1.7 EN UN PC CON WINDOWS 7

Ejecutamos el programa y seleccionamos la opción a utilizar en nuestro caso usaremos análisis cualitativo.

DIAGRAMA UTILIZACION DE LA HERRAMIENTA DIAGRAMA UTILIZACION DE LA HERRAMIENTA PILARPILAR

UTILIZACION DE LA HERRAMIENTA PILAR V 5.1.7 EN UN PC CON WINDOWS 7

Ejecutamos el programa y seleccionamos la opción a utilizar en nuestro caso usaremos análisis cualitativo.

14

PANEL PRINCIPAL DEL PROYECTOPANEL PRINCIPAL DEL PROYECTO

IDENTIFICACION DE ACTIVOSIdentificación de activos: dentro de la opción análisis de riesgos, primero se ingresan los activos clasificándolos por su función.

PANEL PRINCIPAL DEL PROYECTOPANEL PRINCIPAL DEL PROYECTO

Identificación de activos: dentro de la opción análisis de riesgos, primero se ingresan los activos

15

ACTIVOSACTIVOSLos activos se organizan en:

CapasGrupos de activosActivos propiamente dichos

VALORACION DE ACTIVOSVALORACION DE ACTIVOS

Para valorar los activos previamente escogemos el o los niveles, de acuerdo al criterio de valoración entre activos y sus vulnerabilidades reflejados en los pilares.

VALORACION DE ACTIVOSVALORACION DE ACTIVOS

Para valorar los activos previamente escogemos el o los niveles, de acuerdo al criterio de valoración entre activos y sus vulnerabilidades reflejados en los pilares.

17

IDENTIFICACION DE AMENAZASIDENTIFICACION DE AMENAZAS

PILAR recomienda utilizar su biblioteca de amenazas y esta se puede asociar a cada uno de los activos, tomando en cuenta sus clases y dependencias.

IDENTIFICACION DE AMENAZASIDENTIFICACION DE AMENAZAS

PILAR recomienda utilizar su biblioteca de amenazas y esta se puede asociar a cada uno de los activos, tomando en cuenta sus clases y dependencias.

18

VALORACION DE AMENAZASVALORACION DE AMENAZASPILAR propone valorar las amenazas definiendo las frecuencias o probabilidad de posible materialización de las mismas y la degradación por niveles o porcentajes de los cinco pilares.

VALORACION DE AMENAZASVALORACION DE AMENAZASPILAR propone valorar las amenazas definiendo las frecuencias o probabilidad de posible materialización de las mismas y la degradación por niveles o porcentajes de los cinco pilares.

20

IMPACTO ACUMULADOIMPACTO ACUMULADO

Es el impacto evaluado en los activos inferiores

21

IDENTIFICACION Y VALORACION DE SALVAGUARDASIDENTIFICACION Y VALORACION DE SALVAGUARDAS

Utilizando las sugerencias de la herramienta PILAR, utilizamos la plantilla de salvaguardas, y a continuación la valoración de acuerdo a los siguientes parámetros

IDENTIFICACION Y VALORACION DE SALVAGUARDASIDENTIFICACION Y VALORACION DE SALVAGUARDAS

las sugerencias de la herramienta PILAR, utilizamos la plantilla de salvaguardas, y a continuación la valoración de acuerdo a los siguientes parámetros

22

IDENTIFICACION, IDENTIFICACION, VALORACION Y VALORACION Y RIESGO RESIDUAL

23

RIESGO RESIDUALRIESGO RESIDUAL

Es el riesgo obtenido posterior a la valoración y aplicación de salvaguardasEs el riesgo obtenido posterior a la valoración y aplicación de salvaguardas

24

SOFTWARE PILAR PARA DIFERENTES SISTEMAS OPERATIVOS

25

SOFTWARE PILAR PARA DIFERENTES SISTEMAS OPERATIVOS