systems security 1.- introduccion
TRANSCRIPT
-
7/24/2019 Systems Security 1.- Introduccion
1/51
SYSTEMS SECURITY
INTRODUCCIN
-
7/24/2019 Systems Security 1.- Introduccion
2/51
SYSTEMS SECURITY INTRODUCCIN
Gestin de Seguridad
Definicines bsicas
Gestin del Riesgo y Gobernanza
Tipos de Riesgo y origen
Anlisis de Riesgos. Modelo y valoracin
NDICE
-
7/24/2019 Systems Security 1.- Introduccion
3/51
SYSTEMS SECURITY INTRODUCCIN
Gestin de la Seguridad de la Informacin: proceso por el cual la Organizacin define, alcanzunos niveles apropiados de confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad painformacin que necesita para operar.
Aspectos principales:
Determinar los objetivos, estrategias y polticas de Seguridad de la Informacin.
Determinar los requerimientos de Seguridad de la Informacin.
Identificar y analizar las amenazas y las vulnerabilidades de los Activos de Informacin.
Identificar y analizar los riesgos de seguridad.
Especificar salvaguardas adecuadas teniendo en cuenta las amenazas, vulnerabilidades y riesgos identificados.
Supervisar la implementacin y el funcionamiento de las salvaguardas especificadas.
Asegurar la concienciacin de todo el personal en materia de Seguridad de la Informacin.
Detectar los posibles incidentes de seguridad y reaccionar ante ellos.
DEFINICIONES BSICAS.- GESTIN DE SEGURIDAD
-
7/24/2019 Systems Security 1.- Introduccion
4/51
SYSTEMS SECURITY INTRODUCCIN
Resultados encuestas/tendencias::
Crecimiento de los incidentes provocados por el propio personal de la Organizacin, no por externos, que hacen ineficacestablecidas para proteger de los ataques procedentes del exterior por s solas.
Crecimiento de los ataques con motivacin puramente econmica, que conduce a una profesionalizacin de los atacantes,organizados con personas especializadas en la ejecucin de las diferentes fases y tareas.
Los ataques se vuelven con ello ms complejos abarcando el aprovechamiento de debilidades no slo tecnolgicas, sino taingeniera social, etc.
Crecimiento de los ataques diseados especficamente para atacar objetivos determinados. La difusin de kits que permitsofisticados a personas sin conocimientos tecnolgicos elevados permite que el nmero de ataques dirigidos aumente.
Un volumen significativo de prdidas se debe a debilidades no tecnolgicas, como el robo o la prdida de soportes de infoprivilegios por parte de usuarios de sistemas de informacin.
Aproximadamente la mitad de las Organizaciones encuestadas indica que ha sufrido al menos un incidente de seguridad deel ltimo ao.
Aumenta el nmero de ataques de da 0, que se producen antes de que se publique la existencia de la debilidad explotada.necesidad de establecer una disciplina de seguridad que proteja no slo de las debilidades conocidas, sino tambin de las qconocerse. Asimismo, supone la necesidad de reaccionar con presteza ante la publicacin de nuevas debilidades, puesto qusiendo explotadas en ese momento.
DEFINICIONES BSICAS.- GESTIN DE SEGURIDAD
-
7/24/2019 Systems Security 1.- Introduccion
5/51
SYSTEMS SECURITY INTRODUCCIN
DEFINICIONES BSICAS.- RIESGO
RIESGO
El riesgo se define como la combinacin de la probabilidad produzca un evento y sus consecuencias negativas.
Medida de la magnitud de los daos frente a una situacin peligros
Consecuencias:
Prdida de ingresos
Prdida de ventaja competitiva
Penalizaciones legales
-
7/24/2019 Systems Security 1.- Introduccion
6/51
SYSTEMS SECURITY INTRODUCCIN
DEFINICIONES BSICAS.- RIESGO
Componentes del RIESGO
Amenaza es un fenmeno, sustancia, actividad humana o condicin peligroocasionar la muerte, lesiones u otros impactos a la salud, al igual que daos a la pprdida de medios de sustento y de servicios, trastornos sociales y econmicos, ambientales. La amenaza se determina en funcin de la intensidad y la frecuencia
Vulnerabilidad son las caractersticas y las circunstancias de una comunbien que los hacen susceptibles a los efectos dainos de una amenaza.
RIESGO = AMENAZA x VULNERABILIDAD
-
7/24/2019 Systems Security 1.- Introduccion
7/51
SYSTEMS SECURITY INTRODUCCIN
DEFINICIONES BSICAS.- RIESGO
Factores que componen la VULNERABILIDAD
Exposicin es la condicin de desventaja debido a la ubicacin, posicin o locsujeto, objeto o sistema expuesto al riesgo.
Susceptibilidad es el grado de fragilidad interna de un sujeto, objeto o sistemauna amenaza y recibir un posible impacto debido a la ocurrencia de un even
Resiliencia es la capacidad de un sistema, comunidad o sociedad expuestos apara resistir, absorber, adaptarse y recuperarse de sus efectos de manera oport
que incluye la preservacin y la restauracin de sus estructuras y funcione
VULNERABILIDAD = EXPOSICIN x SUSCEPTIBILIDAD / RESILIENC
-
7/24/2019 Systems Security 1.- Introduccion
8/51
SYSTEMS SECURITY INTRODUCCIN
DEFINICIONES BSICAS.- RIESGO
DISTINCIONES IMPORTANTES
RIESGO vs PELIGRO
RIESGO vs AMENAZA
SUSCEPTIBILIDAD vs PROBABILIDAD
RIESGO NO IMPLICA NECESARIAMENTE PERDID
-
7/24/2019 Systems Security 1.- Introduccion
9/51
SYSTEMS SECURITY INTRODUCCIN
DEFINICIONES BSICAS.- RIESGO
Universo de riesgos existente: virtualmente infinito
Consecuencia: infinitas medidas de proteccin
IMPOSIBLE!!
Necesidad de herramientas que posibiliten seleccionar y mconjunto limitado de riesgos
CONFIABILIDAD
-
7/24/2019 Systems Security 1.- Introduccion
10/51
SYSTEMS SECURITY INTRODUCCIN
DEFINICIONES BSICAS.- RIESGO
Esta herramienta es el ANALISIS DE RIESGOS, permite
Identificar Clasificar y
Valorar
los eventos que pueden amenazar la consecucin de los objetivos de la Orgestablecer las medidas oportunas para reducir el impacto esperable hasta un n
tolerancia al riesgo: cantidad de riesgo que una Organizacin es capaz de
apetito de riesgo: cantidad de riesgo que una Organizacin est dispuesta a glograr los objetivos establecidos.
Simplificando el escenario: LINEA BASE DE SEGURIDAD
-
7/24/2019 Systems Security 1.- Introduccion
11/51
SYSTEMS SECURITY INTRODUCCIN
DEFINICIONES BSICAS.- RIESGO
-
7/24/2019 Systems Security 1.- Introduccion
12/51
SYSTEMS SECURITY INTRODUCCIN
DEFINICIONES BSICAS.- RIESGO
-
7/24/2019 Systems Security 1.- Introduccion
13/51
SYSTEMS SECURITY INTRODUCCIN
DEFINICIONES BSICAS.- RIESGO
-
7/24/2019 Systems Security 1.- Introduccion
14/51
SYSTEMS SECURITY INTRODUCCIN
DEFINICIONES BSICAS.- RIESGO
-
7/24/2019 Systems Security 1.- Introduccion
15/51
SYSTEMS SECURITY INTRODUCCIN
DEFINICIONES BSICAS.- GESTIN DEL RIESGO
OtrosRiesgos
Riesgo de mercado Riesgo de crdito Riesgo de tasa de inters Riesgo de moneda
Riesgos
RiesgosNo de IT
Procesos de negocio Personas y capacidades Medio ambiente
Infraestructura fsica
Riesgo decumplimient
Riesgo derecuperacin
Riesgo deescalabilidad
Riesgo derendimiento
Riesgo dedisponibilidad
Riesgo deseguridad
Cyber Crimen
Fraude interno
Cyber terrorismo
Arq. distribuidas
Picos de demanda
Diversidad tecnolgica
Regulaciones
Polticas corpor
Leyes
Poltica interna
Cambios deconfiguracin
Falta de redundancia
Errores humanos
Fallas de hardwarey/o software
Amenazas externas
Desastres naturales
Crecimiento delnegocio
Cuellos de botella
Arquitecturasobsoletas
RiesgoOperacional
Riesgosde IT
SYSTEMS SECURITY
-
7/24/2019 Systems Security 1.- Introduccion
16/51
SYSTEMS SECURITY INTRODUCCIN
DEFINICIONES BSICAS.- GOBERNANZA
SYSTEMS SECURITY
-
7/24/2019 Systems Security 1.- Introduccion
17/51
SYSTEMS SECURITY INTRODUCCIN
Los riesgos inherentes a la entidad abarcan los provenientes de:
Los recursos humanos. Tales como diferencias con los empleados o dependencias de personas corganizacin, clima social en la compaa y poltica social, y exposicin al riesgo de conflictos colos representantes de los empleados.
La regulacin. Los requisitos regulatorios suponen un riesgo creciente: es necesario identificar yobligaciones de cumplimiento normativo, especialmente en sectores como el financiero, segurosEsta gestin depender mucho del modelo de negocio o de los pases en los que la organizaci
Los clientes. Se torna necesaria la identificacin de los puntos de conflicto con clientes, de las compaa ms expuestas al fallo en el servicio al cliente, e, incluso, de los tipos ms significativosreputacional.
El entorno. En l se encuadran las situaciones de riesgo ms relevantes relacionadas con agente(tormentas, inundaciones, terremotos, pandemias etc.).
DEFINICIONES BSICAS.- GESTIN DE RIESGOS - ORIGEN
SYSTEMS SECURITY
-
7/24/2019 Systems Security 1.- Introduccion
18/51
SYSTEMS SECURITY INTRODUCCIN
Dentro de los riesgos de los procesos de una organizacin, se podran incluir:
Fraude interno y externo. Sera necesario identificar los procesos expuestos al fraude externo experiencia histrica y en entrevistas con los responsables del proceso de negocio; del mismo midentificar los procesos susceptibles de fraude interno, como por ejemplo la venta de informacirelaciones con los proveedores, etc.
Prdidas generadas por una interrupcin del negocio. Sera necesario identificar los procesos exinterrupcin del servicio, es decir aquellos procesos para los cuales una interrupcin puede sup
financiera por el abandono del servicio al cliente o incluso por penalizaciones por incumplimienviolacin de regulaciones. Este anlisis se suele realizar usualmente en el marco de la disciplina negocio.
Prdidas generadas por errores en la ejecucin. Sera necesario identificar las causas ms usualerelacin con la complejidad y la automatizacin del proceso: errores humanos, fallos en la integrprocesos en los que estos errores podran impactar son los de pagos, desarrollo de productos faquellos con fechas de entrega obligatorias.
DEFINICIONES BSICAS.- GESTIN DE RIESGOS - ORIGEN
SYSTEMS SECURITY
-
7/24/2019 Systems Security 1.- Introduccion
19/51
SYSTEMS SECURITY INTRODUCCIN
Por ltimo, los riesgos relacionados con la estrategia incluyen:
La gestin del cambio. La innovacin y la poltica de gestin del cambio son parmetros que conexposicin al riesgo. Sera por tanto necesario identificar en una organizacin como factores deproyectos de TI relativos a cambios significativos o a la implementacin de nuevos sistemas, el laproductos y la adquisicin de compaas.
La poltica de outsourcing/offshoring. Las decisiones de externalizacin de las partes no esenciapara beneficiarse de economas de escala conducen a nuevos riesgos como la exposicin a la ej
de los proveedores de servicio, a su salud financiera, al riesgo de exponer informacin confidenlos derivados de un plan inadecuado de continuidad de negocio del proveedor.
DEFINICIONES BSICAS.- GESTIN DE RIESGOS - ORIGEN
-
7/24/2019 Systems Security 1.- Introduccion
20/51
Crdito
Mercado
Liquidez
Tasa de inters
Transferencia
Legal
Reputacin
Operacional
Estratgico
InfraestructuraSeguridad TI/S
Gestin/Contro
Auditora
Integridad
Continuidad
Proveedores
Apertura de los compoEste riesgo es muy importante por la naturalezatecnolgica en la prestacin de los servicios.
-
7/24/2019 Systems Security 1.- Introduccion
21/51
Falta de integracin entre siheredados y los emergentes,
Escasa flexibilidad a crecimiento odemanda,
Falta de interoperabilidad entrsistemas propios y de los de terceros
Hardware sub-dimensionado odimensionado,
Retraso en los procesos,
Tecnologa de poca adaptabilidad,
Sistemas operativos de poca estabilid
Tecnologa obsoleta,
Leguajes de programacin poco flexib
InfraestructuraSeguridad TI/SI
Gestin/Control
Auditora
Integridad
Continuidad
Proveedores
Algunas causas de riesgo
-
7/24/2019 Systems Security 1.- Introduccion
22/51
Fallas en la administracin, Falta de requerimientos de seguridad
proceso de desarrollo, Carencia o inadecuacin del BCP, Pobre autenticacin e identificacin, Inexistencias de deteccin de intru
mala configuracin, Sin proteccin del permetro de la Int Inadecuada o carente proteccin
comunicaciones, Inadecuado resguardo de activoinformacin,
Falta de entrenamiento entecnologas,
Nula o pobre actualizacin sobnuevas vulnerabilidades del softwhardware.
InfraestructuraSeguridad TI/SI
Gestin/Control
Auditora
Integridad
Continuidad
Proveedores
Algunas causas de riesgo
-
7/24/2019 Systems Security 1.- Introduccion
23/51
Hackers,Phreakers, etc.
Virus y bombas lgicas, Vulnerabilidades del software, Violacin de acceso, Intercepcin de datos en la red, Modificacin de datos en la red, Modificacin de datos sin permiso, Legitimacin de mensajes falsos,
Emisiones electromagnticas, Divulgacin de datos confidenciales, Destino de mensajes indebido, Destruccin de datos, Fallas de software o hardware, Inhabilidad de operar, Inadecuacin de la separacin de func
InfraestructuraSeguridad TI/SI
Gestin/Control
Auditora
Integridad
Continuidad
Proveedores
Algunas amenazas a la seguridad
-
7/24/2019 Systems Security 1.- Introduccion
24/51
Prdidas financieras como resultado
fraude tecnolgico (hackers, frecrackers, intrusin, etc.): Denegaciservicio (DOS); Internet protocospoofing;Trojan horses (virus).
Prdidas de informacin confidenciintrusin o alteracin no perInternet protocol (IP) spoofing;horses (virus).
Prdidas de oportunidad de negotravs de discontinuidad del serDenegacin de servicio (DOS).
Utilizacin no autorizada de los reTrojan horses (virus).
Repudio de las transacciones: Negacenvo y/o recepcin de una transacci
InfraestructuraSeguridad TI/SI
Gestin/Control
Auditora
Integridad
Continuidad
Proveedores
Algunas consecuencias de los riesg
-
7/24/2019 Systems Security 1.- Introduccion
25/51
Control de acceso fsicos,
Control de acceso lgico, Autenticacin,
Firewalls,
Sistemas de deteccin de intrusin,
Control de acceso al contenido,
Certificado de los servidores,
Certificacin de los prestadores, Utilizacin de PKI,
Mecanismos de Integridad,
Manejo del No-Repudio,
Encripcin por claves,
Encripcin.
InfraestructuraSeguridad TI/SI
Gestin/Control
Auditora
Integridad
Continuidad
Proveedores
Controles para minimizar el riesg
-
7/24/2019 Systems Security 1.- Introduccion
26/51
InfraestructuraSeguridad TI/SI
Gestin/Control
Auditora
Integridad
Continuidad
Proveedores
Objetivos de la seguridad
Infraestructura de Seguridad
Polticas de Seguridad
Confiden
cialidad
No-Re
pudio
Integridad
Una OrganizacinConfiable y Segura
Autent
icidad
D i s p o n i b
i l i d a d
-
7/24/2019 Systems Security 1.- Introduccion
27/51
Integridad, Identidad, AutenConfidencialidad, Disponibilidad
Privacidad de:
los actores, los mensajes y los
en las redes de comunicacin,
la informacin crtica en los si
internos.
Utilidad, Posesin,Temporalidad de:
De los datos y de la informacin
InfraestructuraSeguridad TI/SI
Gestin/Control
Auditora
Integridad
Continuidad
Proveedores
Pilares de la seguridad
-
7/24/2019 Systems Security 1.- Introduccion
28/51
Niveles de confidencialidad de los dat
Separacin de Funciones, Administracin y control de la seg
lgica, Control y seguimiento de accesos, Acceso de los usuarios definidos co
contingencia/emergencia, Acceso a utilitarios sensitivos,
Separacin de los ambientesprocesamiento, Puesta en produccin de los program Confidencialidad de la transmisi
datos, Tipos de servicios ofrecidos por me
Internet.
InfraestructuraSeguridad TI/SI
Gestin/Control
Auditora
Integridad
Continuidad
Proveedores
Foco de la poltica de seguridad
-
7/24/2019 Systems Security 1.- Introduccion
29/51
La adecuacin de una sana poltseguridad estar determinada pbalance de distintos factores clave
Servicios ofrecidos vs. Seg
provista, Fcil de utilizar vs. Seguridad,
Costo de la seguridad vs. Elde la prdida.
Infraestructura
Seguridad TI/SI
Gestin/Control
Auditora
Integridad
Continuidad
Proveedores
Poltica de seguridad
-
7/24/2019 Systems Security 1.- Introduccion
30/51
Ausencia o dbiles metodologas d
Assessment, Falta de requerimientos de control
proceso de desarrollo,
Inadecuada implementacin de registactividad,
Inexistencia o mal funcionamientcontroles embebidos en los sistemas,
Dbil conocimiento de las operaciosus riesgos,
Escaso conocimiento de las tecnutilizadas.
Infraestructura
Seguridad TI/SI
Gestin/Control
Auditora
Integridad
Continuidad
Proveedores
Algunas causas de riesgo
-
7/24/2019 Systems Security 1.- Introduccion
31/51
Ausencia o dbiles metodologas d
Assessment,
Inadecuado plan de auditora,
Fallas en las evidencias,
Nulo o pobre seguimiento de los hall
Faltas de ciclos de auditora continua
Dbil conocimiento de las operaciosus riesgos,
Escaso conocimiento de las tecnutilizadas.
Infraestructura
Seguridad TI/SI
Gestin/Control
Auditora
Integridad
Continuidad
Proveedores
Algunas causas de riesgo
-
7/24/2019 Systems Security 1.- Introduccion
32/51
Falta de una metodologa para la ing
del software, Inadecuado ciclo de desarrollo de sist
Problemas en el control de camprogramas o sistemas,
Inadecuada segregacin de fun(desarrollo, bases de datos y producc
Mala gestin o seleccin de los protde comunicacin,
Escaso o malo control de intrusin,
Inadecuada seguridad fsica y/o lgica.
Infraestructura
Seguridad TI/SI
Gestin/Control
Auditora
Integridad
Continuidad
Proveedores
Algunas causas de riesgo
-
7/24/2019 Systems Security 1.- Introduccion
33/51
Nulo anlisis de riesgos (BIA),
Inadecuado manejo de incidentes,cancelaciones o re-procesos improvis
Ataques por denegacin de servicio (
Carencia o inadecuacin de la planifde contingencias,
Malas prcticas de resguardo de dato
Falta de deteccin deVirus,
Escaso mantenimiento preventivo,
Escaso entrenamiento,
Falta de control sobre los ISP,ASP o B
Infraestructura
Seguridad TI/SI
Gestin/Control
Auditora
Integridad
Continuidad
Proveedores
Algunas causas de riesgo
-
7/24/2019 Systems Security 1.- Introduccion
34/51
Fallas en la seleccin de los terceros,
Inadecuado o falta de control sobservicios delegados a terceros,
Inadecuado acompaamiento devolucin del negocio por los tercero
Incumplimiento de las polticasorganizacin por parte de terceros,
Problemas financieros de los tercedetectados a tiempo,
Quiebre operacional de los terceros,
Inadecuado convenio contractual cterceros.
Infraestructura
Seguridad TI/SI
Gestin/Control
Auditora
Integridad
Continuidad
Proveedores
Algunas causas de riesgo
SYSTEMS SECURITY INTRODUCCIN
-
7/24/2019 Systems Security 1.- Introduccion
35/51
OBJETIVOS DEL ANALISIS DE RIESGOS
Racionalizar la inversin en seguridad de la informacin.Reduccin de costes
de la seguridad; directos e indirectosde la inseguridad; directos e indirectos
Coste de inseguridad = riesgo
Formalizar la toma de decisiones: priorizacin y valoracinObjetividadValoracin
Cumplir con las normativas aplicablesLey Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal y sus desarrollos reglamentariosReal Decreto 263/1996, de 16 de Febrero, por el que se regula la utilizacin de tcnicas electrnicas, informticas y telemtiGeneral del Estado.Estndares y cdigos de buenas prcticas.Regulaciones sectoriales (Informe Olivencia, el Informe Aldama y el Cdigo Unificado de Buen Gobierno,Basilea II, Solvencia
DEFINICIONES BSICAS.- OBJETIVOS ANLISIS DE RIESGO
SYSTEMS SECURITY INTRODUCCIN
-
7/24/2019 Systems Security 1.- Introduccion
36/51
DEFINICIN DEL MODELO.- ELEMENTOS
ACTIVO
ACTIVO ACTIVO
ACTIVOACTIVO
ACTIVO
ConfidencialidadIntegridadDisponibilidad
Valoracin
Evaluacin coste
prdida
AMENAZAS
VULNERABILIDADES
SALVAG
SYSTEMS SECURITY INTRODUCCIN
-
7/24/2019 Systems Security 1.- Introduccion
37/51
DEFINICIN DEL MODELO.- CUANTIFICACINLas metodologas de anlisis de riesgos de seguridad de la informacin parten de la necesidad de idformalmente los elementos a proteger. Estos elementos se recogen en un inventario de activos de considerando como tales aquellos elementos que tienen valor para la Organizacin.
Identificacin de activos Valoracin de activos (requisitos de seguridad: confidencialidad, integridad y disponibilidad) Identificacin de amenazas Identificacin de salvaguardas
Cmo cuantificar todos estos elementos?
SYSTEMS SECURITY INTRODUCCIN
-
7/24/2019 Systems Security 1.- Introduccion
38/51
DEFINICIN DEL MODELO.- CUANTIFICACIN
Prdida esperada (Single Loss ExpectancySLE): Considerando un nico activo de informacinrequerimiento de seguridad (R) y una nica amenaza (T) se puede estimar la prdida econmica eque la amenaza se realice.
Generalmente, la prdida esperada no se representa en trminos absolutos, sino como un porcentreferido al valor total del activo para el requerimiento considerado.
Considerando distintos requisitos de seguridad:
Considerando los distintos activos identificados:
SYSTEMS SECURITY INTRODUCCIN
-
7/24/2019 Systems Security 1.- Introduccion
39/51
DEFINICIN DEL MODELO.- CUANTIFICACIN
Prdida anual esperada (Annual Loss Expectancy ALE). Una vez conocida la prdida prorealizacin de cada amenaza, en caso de que ocurra, se debe considerar la probabilidad de que la a
efectivamente en el periodo de un ao:
La prdida anual esperada teniendo en cuenta todas las amenazas puede definirse, por tanto, como
existen amenazas para las que se espera ms de una ocurrencia anual: el concepto de probabilidadconcepto de frecuencia (Annual Rate of Occurrence ARO)
SYSTEMS SECURITY INTRODUCCIN
-
7/24/2019 Systems Security 1.- Introduccion
40/51
DEFINICIN DEL MODELO.- CUANTIFICACIN
El concepto de riesgo intrnseco se asocia habitualmente a la prdida anual estimada, y se represequivalente como:.
Las salvaguardas (S) implantadas permiten reducir la frecuencia de ocurrencia de las amenazas o lacausada por ellas en caso de realizarse. Teniendo en cuenta la reduccin de la frecuencia, se puedeprobabilidad de que una salvaguarda sea eficaz en la prevencin de la ocurrencia de una amenaza d
Considerando el conjunto de salvaguardas:
SYSTEMS SECURITY INTRODUCCIN
-
7/24/2019 Systems Security 1.- Introduccion
41/51
DEFINICIN DEL MODELO.- CUANTIFICACIN
Considerando frecuencia en lugar de probabilidad:
De forma anloga, se puede calcular la degradacin una vez aplicadas las salvaguardas:
I(S): reduccin del impacto provocado por la accin de la salvaguarda
Riesgo residual:
Simplificacin del clculo (por coste computacional) definiendo un porcentaje fijo de reduccin dede la degradacin para cada salvaguarda implantada
SYSTEMS SECURITY INTRODUCCIN
-
7/24/2019 Systems Security 1.- Introduccion
42/51
DEFINICIN DEL MODELO.- CUANTIFICACIN
Relaciones entre los activos
Dados dos activos A y B, de forma que el activo A depende del activo B, el valor del activo B (para requerimientos de seguridad considerados), a efectos del anlisis de riesgos, puede incrementarse activo A, debido a que la realizacin de una amenaza sobre el activo B no slo provocar la degradcorrespondiente del activo B, sino tambin una degradacin proporcional en el activo A. Esto se coacumulado.
En caso de realizarse una amenaza T sobre el activo B
SYSTEMS SECURITY INTRODUCCIN
-
7/24/2019 Systems Security 1.- Introduccion
43/51
DEFINICIN DEL MODELO.- CUANTIFICACIN
El riesgo total de B puede estimarse como la suma entre el riesgo propio de B ms el riesgo de A
siendo A dependiente de B en cierto porcentaje, y dada una determinada amenaza T, el efecto de laamenaza sobre el activo A debe tener en cuenta tambin la dependencia del activo B
SYSTEMS SECURITY INTRODUCCIN
-
7/24/2019 Systems Security 1.- Introduccion
44/51
DEFINICIN DEL MODELO.-VALORACIN
Mtodos de valoracin:
Cuantitativos
Cualitativos
Mixtos
SYSTEMS SECURITY INTRODUCCIN
-
7/24/2019 Systems Security 1.- Introduccion
45/51
DEFINICIN DEL MODELO.-VALORACIN
Cuantitativa: supone establecer un valor numrico para cada uno de los requerimientos de sevalor se calcula en trminos de las prdidas esperadas en caso de incumplimiento de dicho req
principales conceptos de prdidas a tener en cuenta son:
Coste de reposicin de los activos y recursos de informacin perdidos (adquisicin, instalacin, recuperaCoste de mano de obra invertida en recuperar y/o reponer los activos y recursos de informacin.Lucro cesante debido a la prdida de ingresos provocada por la parada o degradacin del funcionamientoprocesos afectados.Capacidad de operar, debido a la prdida de confianza de los clientes y proveedores, que se traduce en uactividad o en peores condiciones econmicas.Sanciones y penalizaciones por incumplimiento de la ley u obligaciones contractuales.Dao a otros activos, propios o ajenos.Dao a personas.Daos medioambientales.Daos reputacionales: percepcin del mercado, prdida de clientes, dificultad para acceder al crdito, cosde marketing necesarias para recuperar la reputacin perdida, etc.Valor de los secretos desvelados: secreto industrial, secreto comercial,etc.
SYSTEMS SECURITY INTRODUCCIN
-
7/24/2019 Systems Security 1.- Introduccion
46/51
DEFINICIN DEL MODELO.-VALORACIN
Cualitativa: supone asignar un valor de una escala definida para cada uno de los requerimient
Este valor se calcula en base a un conjunto de caractersticas que define cada una de las categobasadas en las descritas para la valoracin cuantitativa. La valoracin cuantitativa es ms precisamayor esfuerzo y dificultad, por la necesidad de valorar los distintos conceptos de prdida en tgeneralmente econmicos. Debido a la dificultad y el coste de realizar un anlisis cuantitativo, mmetodologas de anlisis de riesgos han desarrollado enfoques cuantitativos, que permiten ubicaescala de rdenes de magnitud. Este anlisis se conoce como anlisis cualitativo.
Los principios del anlisis cualitativo son los mismos que los del anlisis cusustituyendo los clculos aritmticos por la aplicacin de tablas
SYSTEMS SECURITY INTRODUCCIN
-
7/24/2019 Systems Security 1.- Introduccion
47/51
DEFINICIN DEL MODELO.-VALORACIN
SYSTEMS SECURITY INTRODUCCIN
-
7/24/2019 Systems Security 1.- Introduccion
48/51
DEFINICIN DEL MODELO.-VALORACIN
SYSTEMS SECURITY INTRODUCCIN
-
7/24/2019 Systems Security 1.- Introduccion
49/51
DEFINICIN DEL MODELO.-VALORACINLa elaboracin de las tablas puede variar en funcin de las diferentes metodologas o necesidadA continuacin se muestran dos ejemplos de tablas utilizando las funciones mximo, mnimo y m
SYSTEMS SECURITY INTRODUCCIN
-
7/24/2019 Systems Security 1.- Introduccion
50/51
DEFINICIN DEL MODELO.-VALORACIN
Es posible convertir valores en diferentes escalas, por ejemplo, a continuacin se toman dos paescala de tres niveles y se obtiene un resultado en una escala de cinco niveles:
Caso inverso al caso anterior: la conversin de dos escalasde cinco niveles a una escala de tres niveles
SYSTEMS SECURITY INTRODUCCIN
-
7/24/2019 Systems Security 1.- Introduccion
51/51
DEFINICIN DEL MODELO.-VALORACIN
Mtodos mixtos
Debido a que los mtodos cuantitativos y cualitativos tienen ventajas einconvenientes, existen alternativas para combinar ambos mtodos de fobtengan las mayores ventajas de cada uno. Esos mtodos que presentacaractersticas de los mtodos cuantitativos y otras caractersticas de locualitativos se denominan mtodos mixtos.