Herramientas de usuario
master_cs:gsi:tm1
Diferencias
Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previa | ||
| master_cs:gsi:tm1 [2025/09/15 14:27] – thejuanvisu | master_cs:gsi:tm1 [2025/09/15 14:51] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 21: | Línea 21: | ||
| El riesgo se puede analizar con las siguientes metodologías: | El riesgo se puede analizar con las siguientes metodologías: | ||
| * **Octave** | * **Octave** | ||
| - | | + | * Establecer un criterio de medición del riesgo |
| + | * Desarrollar un perfil de información de los activos | ||
| + | | ||
| * **Nist SP800-30** | * **Nist SP800-30** | ||
| * Caracterización del sistema | * Caracterización del sistema | ||
| Línea 28: | Línea 30: | ||
| * Determinación de probabilidad de siceso | * Determinación de probabilidad de siceso | ||
| * Analisis del impacto | * Analisis del impacto | ||
| - | * | + | * Recomendaciones de control |
| + | * Documentación resultante | ||
| * **ISO 27005**: | * **ISO 27005**: | ||
| Línea 44: | Línea 46: | ||
| * Evaluación del riesgo | * Evaluación del riesgo | ||
| + | ===== Puntuaciones de probabilidad del OWASP ===== | ||
| + | Se tienen en cuenta los siguientes factores en caso de las personas: | ||
| + | * **Nivel de destreza** del agente que lanza una amenzasa: ¿Pueden ser el sistema explotado por un agente con poca destreza? | ||
| + | * **Motivo**: Recompensa alta o baja | ||
| + | * **Oportunidad**: | ||
| + | * **Tamaño**: | ||
| + | |||
| + | Se tienen en cuenta los siguientes factores en las vulnerabilideaes: | ||
| + | * Facilidad de descubrimiento | ||
| + | * Facilidad de explotación | ||
| + | * Facilidad de intrusión | ||
| + | |||
| + | ===== Escala de impacto ===== | ||
| + | * Nivel 1: Insignificante | ||
| + | * Nivel 2: Menor | ||
| + | * Nivel 3: Serio | ||
| + | * Nivel 4: Desastroso | ||
| + | * Nivel 5: Catastrófico | ||
| + | |||
| + | Existen 2 tipos de impactos: | ||
| + | * Impacto de negocio | ||
| + | * Finaciero | ||
| + | * Privacidad | ||
| + | * Reputacional | ||
| + | * Impacto técnico | ||
| + | * Confidencialidad | ||
| + | * Integridad | ||
| + | * Disponibilidad | ||
| + | |||
| + | ===== Opciones del tratamiento del riesgo ===== | ||
| + | * **Evitar el riesgo**: Tomar medidas que eliminen completamente el riesgo. | ||
| + | * **Reducir el riesgo**: Tomar medidas que mitiguen el riesgo. | ||
| + | * Reducir la probabilidad de que ocurra | ||
| + | * Reducir las consecuencias. | ||
| + | * **Trasferir el riesgo** | ||
| + | * **Aceptar el riesgo**: No tratarlo, tolerarlo. No confundir con no conocer el riesgo. Aunque no se trate, existen medidas de contingencia en caso de que ocurra. | ||
| + | |||
| + | ==== Contramedidas ==== | ||
| + | * A nivel operacional: | ||
| + | * Controles físicos | ||
| + | * Controles procedurales: | ||
| + | * Controles técnicos: Equipamiento de red, firewalls... | ||
| + | * A nivel temporal: | ||
| + | * Controles preventivos | ||
| + | * Controles directivos | ||
| + | * Controles detectores | ||
| + | * Controles correcivos | ||
| ===== Metodologías ===== | ===== Metodologías ===== | ||
master_cs/gsi/tm1.1757946420.txt.gz · Última modificación: 2025/09/15 14:27 por thejuanvisu
Herramientas de la página
