Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio

Estás aquí: Knoppia Wiki » Apuntes Master en CiberSeguridad (MUNICS) Inter-Universitario UDC y UVIGO » Gestión de la seguridad de la información » Análisis de Riesgos
master_cs:gsi:tm1

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
master_cs:gsi:tm1 [2025/09/15 14:15] thejuanvisumaster_cs:gsi:tm1 [2026/01/13 19:59] (actual) thejuanvisu
Línea 10: Línea 10:
 Se tienen en cuenta la combinación de la probabilidad que ocurran y el impacto que puede provocar dicho riesgo. Cuanto mayores sean la probabilidad y el impacto, peor. Se tienen en cuenta la combinación de la probabilidad que ocurran y el impacto que puede provocar dicho riesgo. Cuanto mayores sean la probabilidad y el impacto, peor.
   * El **impacto** se suele analizar calculando pérdidas económicas, reputacionales o pérdidas en el servicio. Se suelen usar escalas de 5 o 7 niveles yendo de extremadamenete bajo a extremadamente alto.   * El **impacto** se suele analizar calculando pérdidas económicas, reputacionales o pérdidas en el servicio. Se suelen usar escalas de 5 o 7 niveles yendo de extremadamenete bajo a extremadamente alto.
-  +<WRAP box> 
 +$Riesgo = Impacto (Consecuencias) Probabilidad$ 
 +</WRAP> 
 +  * Formas 
 +    * Cuantitativa: Cifra numérica 
 +    * cualitativa 
 +    * semicuantitativa: Permite establecer el valor de otros elementos.
  
 +Se suele hacer una tabla con la probabilidad y el impacto, marcando una zona roja, otra amarilla y una verde en función al riesgo siendo rojo el más alto y verde el más bajo.
  
  
-===== Metodologías =====+El riesgo se puede analizar con las siguientes metodologías: 
 +  * **Octave** 
 +    * Establecer un criterio de medición del riesgo 
 +    * Desarrollar un perfil de información de los activos 
 +  * **Fair** (Factor Analysis of Information Risk) 
 +  * **Nist SP800-30** 
 +    * Caracterización del sistema 
 +    * Identificación de amenzadas 
 +    * Análisis del control 
 +    * Determinación de probabilidad de siceso 
 +    * Analisis del impacto 
 +    * Recomendaciones de control 
 +    * Documentación resultante
  
 +  * **ISO 27005**:
 +    * Identificación del riesgo:
 +      * Identificación de activos
 +      * Identificación de amenazas
 +      * Identificación de contorles existentes
 +      * Identifficación de vulnerabilidades
 +      * Identificación de consecuencias
 +    * Estimación del riesgo
 +      * Estimación de consecuencias
 +      * Estimación de posibilidad de incidente
 +      * Estimación del nivel de riesgo
 +    * Evaluación del riesgo
  
-==== Magerit ==== +===== Puntuaciones de probabilidad del OWASP ===== 
-Indica un conjunto de pasos que se deben realizar al analizar el riesgo.+Se tienen en cuenta los siguientes factores en caso de las personas: 
 +  * **Nivel de destreza** del agente que lanza una amenzasa: ¿Pueden ser el sistema explotado por un agente con poca destreza? 
 +  * **Motivo**: Recompensa alta o baja 
 +  * **Oportunidad**: Que oportunidades tiene un grupo de agentes de encontrar vulnerabilidades en el sistema. 
 +  * **Tamaño**: Como de grande es el grupo de agentes.
  
-==== ISO27005 ====+Se tienen en cuenta los siguientes factores en las vulnerabilideaes: 
 +  * **Facilidad de descubrimiento**: como de fácil es para un agente descubrir la vulnerabilidad 
 +  * **Facilidad de explotación**: Como de fácil es para un grupo de agentes explotar la vulnerabilidad 
 +  * **Conocimiento**: Como de conocida es la vulnerabilidad entre el grupo de agentes. 
 +  * **Facilidad de intrusión**: Cual es la posibilidad de detectar el exploit. 
 + 
 +===== Escala de impacto ===== 
 +  * Nivel 1: Insignificante 
 +  * Nivel 2: Menor 
 +  * Nivel 3: Serio 
 +  * Nivel 4: Desastroso 
 +  * Nivel 5: Catastrófico 
 + 
 +Existen 2 tipos de impactos: 
 +  * Impacto de negocio 
 +    * Finaciero 
 +    * Privacidad 
 +    * Reputacional 
 +  * Impacto técnico 
 +    * Confidencialidad 
 +    * Integridad 
 +    * Disponibilidad 
 + 
 +===== Puntuaciones de Impacto del OWASP ===== 
 +==== Factores técnicos ==== 
 +  * **Pérdida de confidencialidad**: Cuantos datos puieden ser difundidos y como de sensibles son. 
 +  * **Pérdida de integridad**: Cuantos datos pueden ser corrompidos o dañados 
 +  * **Perdida de disponibilidad**: Cuanto serivio puede ser perdido y como de vital es. 
 + 
 +==== Factores de impacto de negocio ==== 
 +  * **Daño financiero**: Cuanto daño financiero puede resultar de un exploit 
 +  * **Daño reputacional**: Cuando taño repuitacional puede provocar un exploit y como puede dañar al negocio. 
 +  * **No Cumplimiento**: Cuanta exposición puede provocar el no cumplimiento. 
 +  * **Violación de la privacidad**: Cuantos datos identificables pueden ser difundidos. 
 + 
 + 
 +===== Opciones del tratamiento del riesgo ===== 
 +  * **Evitar el riesgo**: Tomar medidas que eliminen completamente el riesgo. 
 +  * **Reducir el riesgo**: Tomar medidas que mitiguen el riesgo. 
 +    * Reducir la probabilidad de que ocurra 
 +    * Reducir las consecuencias. 
 +  * **Trasferir el riesgo** 
 +  * **Aceptar el riesgo**: No tratarlo, tolerarlo. No confundir con no conocer el riesgo. Aunque no se trate, existen medidas de contingencia en caso de que ocurra. 
 + 
 +==== Contramedidas ==== 
 +  * A nivel operacional: 
 +    * Controles físicos 
 +    * Controles procedurales: Políticas empresariales 
 +    * Controles técnicos: Equipamiento de red, firewalls... 
 +  * A nivel temporal: 
 +    * Controles preventivos 
 +    * Controles directivos 
 +    * Controles detectores 
 +    * Controles correcivos 
 + 
 +===== MAGERIT (Metodología de Análisis y GEstión de Riesgos para Information Technologies) ===== 
 +Indica un conjunto de pasos que se deben realizar al analizar el riesgo. Tiene los siguientes objetivos: 
 + 
 +==== Objetivos ==== 
 +__//Objetivos directos//__ 
 +  * Hacer que los responsables de los sistemas de la información sean conscientes de la existencia de riegos y la necesidad de mitigarlos a tiempo. 
 +  * Ofrecer un método sistemático para el análisis de dichos riresgos. 
 +  * Ayudar a describir y planear las medidas apropiadas para matener el riesgo bajo control. 
 + 
 +__//Objetivos Indirectos//__ 
 +  * Preparar la organización para el proceso de evaluación, auditoría, certificación y acreditación. 
 + 
 +==== Dimensiones de la seguridad ==== 
 +  * Confidencialidad, integridad y disponibilidad 
 +  * Autenticidad. 
 +  * Responsabilidad. 
 + 
 + 
 +==== Método de Análisis de Riesgos ==== 
 + 
 +  - Determinar los **activos** relevantes de la organización, su valor y el coste causado por su daño o pérdida. 
 +  - Determinar las **amenazas** a las que están expuestos dichos activos 
 +  - Determinar que **salvaguardas** están disponibles y como de efectivas son contra el riesgo 
 +  - Estimar el **impacto** de la aparición de una amenaza 
 +  - Estimar el **riesgo** 
 + 
 +==== Paso 1: Activos ==== 
 +Los activos incluyen información, datos, servicios, software, equipamiento, comunicaciones, media, instalaciones y personal. Hay dos tipos especiales de activo en un sistema de información: 
 +  * La información que se maneja 
 +  * Los servicios proveidos 
 + 
 +Solo aquellas fuentes de información que tengan valor para la organización se consideran de importancia. 
 + 
 +==== Paso 2: Amenazas ==== 
 +Son eventos que causan un incidente en la organización, provocando daños a la propiedad o pérdidas intangibles en los activos. Hay varios tipos: 
 +  * Origen natural: Desastres naturales 
 +  * Ambientales: Contaminación, fallos eléctricos... 
 +  * Fallos de aplicación: Fallos de diseño o implementación que tienen consecuencias negativas en el sistema. 
 +  * Amenazas accidentales 
 +  * Causadas deliberadamente. 
 + 
 +Se estima la exposición de un activo basándonos en 2 aspectos: 
 +  * Degradación: La cantidad de daño causado al activo 
 +  * Posibilidad de ocurrencia: Con que fercuencia puede ocurrir 
 + 
 +==== Impacto ==== 
 + 
 +Es la pérdida de valor causada por un accidente. Hay varios factores a tener en cuenta: 
 +  * Coste de reemplazo 
 +  * Coste de tiempo de trabajo invertido en la recuperación 
 +  * Pérdida de ganancias 
 +  * Pérdida de la operatividad 
 +  * Pérdidad de capacidad de tolerancia 
 +  * Penalizaciones debido al no cumplimiento de leyes o contratos 
 +  * Daño a otros activos 
 +  * Daños personales 
 +  * Daño medioambiental 
 + 
 +==== Paso 3: Salvaguardas ==== 
 +Son procedimientos o mecanismos tecnológicos para reducir el riesgo. Hay 2 tipos de argumentos para rechazar una salvaguarda: 
 +  * No se aplica, no sirve para los activos de la ampresa 
 +  * No está justificada, es desproporcionada
  
master_cs/gsi/tm1.1757945728.txt.gz · Última modificación: 2025/09/15 14:15 por thejuanvisu

Herramientas de la página

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki