Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio

Estás aquí: Knoppia Wiki » Apuntes Master en CiberSeguridad (MUNICS) Inter-Universitario UDC y UVIGO » Gestión de la seguridad de la información » Análisis de Riesgos
master_cs:gsi:tm1

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
master_cs:gsi:tm1 [2025/09/15 14:27] thejuanvisumaster_cs:gsi:tm1 [2026/01/13 19:59] (actual) thejuanvisu
Línea 10: Línea 10:
 Se tienen en cuenta la combinación de la probabilidad que ocurran y el impacto que puede provocar dicho riesgo. Cuanto mayores sean la probabilidad y el impacto, peor. Se tienen en cuenta la combinación de la probabilidad que ocurran y el impacto que puede provocar dicho riesgo. Cuanto mayores sean la probabilidad y el impacto, peor.
   * El **impacto** se suele analizar calculando pérdidas económicas, reputacionales o pérdidas en el servicio. Se suelen usar escalas de 5 o 7 niveles yendo de extremadamenete bajo a extremadamente alto.   * El **impacto** se suele analizar calculando pérdidas económicas, reputacionales o pérdidas en el servicio. Se suelen usar escalas de 5 o 7 niveles yendo de extremadamenete bajo a extremadamente alto.
-  * Riesgo = Impacto (Consecuencias) * Probabilidad+<WRAP box> 
 +$Riesgo = Impacto (Consecuencias) * Probabilidad
 +</WRAP>
   * Formas   * Formas
     * Cuantitativa: Cifra numérica     * Cuantitativa: Cifra numérica
Línea 21: Línea 23:
 El riesgo se puede analizar con las siguientes metodologías: El riesgo se puede analizar con las siguientes metodologías:
   * **Octave**   * **Octave**
-  * **Fair**+    * Establecer un criterio de medición del riesgo 
 +    * Desarrollar un perfil de información de los activos 
 +  * **Fair** (Factor Analysis of Information Risk)
   * **Nist SP800-30**   * **Nist SP800-30**
     * Caracterización del sistema     * Caracterización del sistema
Línea 28: Línea 32:
     * Determinación de probabilidad de siceso     * Determinación de probabilidad de siceso
     * Analisis del impacto     * Analisis del impacto
-    *  +    * Recomendaciones de control 
 +    * Documentación resultante
  
   * **ISO 27005**:   * **ISO 27005**:
Línea 44: Línea 48:
     * Evaluación del riesgo     * Evaluación del riesgo
  
 +===== Puntuaciones de probabilidad del OWASP =====
 +Se tienen en cuenta los siguientes factores en caso de las personas:
 +  * **Nivel de destreza** del agente que lanza una amenzasa: ¿Pueden ser el sistema explotado por un agente con poca destreza?
 +  * **Motivo**: Recompensa alta o baja
 +  * **Oportunidad**: Que oportunidades tiene un grupo de agentes de encontrar vulnerabilidades en el sistema.
 +  * **Tamaño**: Como de grande es el grupo de agentes.
 +
 +Se tienen en cuenta los siguientes factores en las vulnerabilideaes:
 +  * **Facilidad de descubrimiento**: como de fácil es para un agente descubrir la vulnerabilidad
 +  * **Facilidad de explotación**: Como de fácil es para un grupo de agentes explotar la vulnerabilidad
 +  * **Conocimiento**: Como de conocida es la vulnerabilidad entre el grupo de agentes.
 +  * **Facilidad de intrusión**: Cual es la posibilidad de detectar el exploit.
 +
 +===== Escala de impacto =====
 +  * Nivel 1: Insignificante
 +  * Nivel 2: Menor
 +  * Nivel 3: Serio
 +  * Nivel 4: Desastroso
 +  * Nivel 5: Catastrófico
 +
 +Existen 2 tipos de impactos:
 +  * Impacto de negocio
 +    * Finaciero
 +    * Privacidad
 +    * Reputacional
 +  * Impacto técnico
 +    * Confidencialidad
 +    * Integridad
 +    * Disponibilidad
 +
 +===== Puntuaciones de Impacto del OWASP =====
 +==== Factores técnicos ====
 +  * **Pérdida de confidencialidad**: Cuantos datos puieden ser difundidos y como de sensibles son.
 +  * **Pérdida de integridad**: Cuantos datos pueden ser corrompidos o dañados
 +  * **Perdida de disponibilidad**: Cuanto serivio puede ser perdido y como de vital es.
 +
 +==== Factores de impacto de negocio ====
 +  * **Daño financiero**: Cuanto daño financiero puede resultar de un exploit
 +  * **Daño reputacional**: Cuando taño repuitacional puede provocar un exploit y como puede dañar al negocio.
 +  * **No Cumplimiento**: Cuanta exposición puede provocar el no cumplimiento.
 +  * **Violación de la privacidad**: Cuantos datos identificables pueden ser difundidos.
 +
 +
 +===== Opciones del tratamiento del riesgo =====
 +  * **Evitar el riesgo**: Tomar medidas que eliminen completamente el riesgo.
 +  * **Reducir el riesgo**: Tomar medidas que mitiguen el riesgo.
 +    * Reducir la probabilidad de que ocurra
 +    * Reducir las consecuencias.
 +  * **Trasferir el riesgo**
 +  * **Aceptar el riesgo**: No tratarlo, tolerarlo. No confundir con no conocer el riesgo. Aunque no se trate, existen medidas de contingencia en caso de que ocurra.
 +
 +==== Contramedidas ====
 +  * A nivel operacional:
 +    * Controles físicos
 +    * Controles procedurales: Políticas empresariales
 +    * Controles técnicos: Equipamiento de red, firewalls...
 +  * A nivel temporal:
 +    * Controles preventivos
 +    * Controles directivos
 +    * Controles detectores
 +    * Controles correcivos
 +
 +===== MAGERIT (Metodología de Análisis y GEstión de Riesgos para Information Technologies) =====
 +Indica un conjunto de pasos que se deben realizar al analizar el riesgo. Tiene los siguientes objetivos:
 +
 +==== Objetivos ====
 +__//Objetivos directos//__
 +  * Hacer que los responsables de los sistemas de la información sean conscientes de la existencia de riegos y la necesidad de mitigarlos a tiempo.
 +  * Ofrecer un método sistemático para el análisis de dichos riresgos.
 +  * Ayudar a describir y planear las medidas apropiadas para matener el riesgo bajo control.
 +
 +__//Objetivos Indirectos//__
 +  * Preparar la organización para el proceso de evaluación, auditoría, certificación y acreditación.
 +
 +==== Dimensiones de la seguridad ====
 +  * Confidencialidad, integridad y disponibilidad
 +  * Autenticidad.
 +  * Responsabilidad.
 +
 +
 +==== Método de Análisis de Riesgos ====
 +
 +  - Determinar los **activos** relevantes de la organización, su valor y el coste causado por su daño o pérdida.
 +  - Determinar las **amenazas** a las que están expuestos dichos activos
 +  - Determinar que **salvaguardas** están disponibles y como de efectivas son contra el riesgo
 +  - Estimar el **impacto** de la aparición de una amenaza
 +  - Estimar el **riesgo**
 +
 +==== Paso 1: Activos ====
 +Los activos incluyen información, datos, servicios, software, equipamiento, comunicaciones, media, instalaciones y personal. Hay dos tipos especiales de activo en un sistema de información:
 +  * La información que se maneja
 +  * Los servicios proveidos
 +
 +Solo aquellas fuentes de información que tengan valor para la organización se consideran de importancia.
 +
 +==== Paso 2: Amenazas ====
 +Son eventos que causan un incidente en la organización, provocando daños a la propiedad o pérdidas intangibles en los activos. Hay varios tipos:
 +  * Origen natural: Desastres naturales
 +  * Ambientales: Contaminación, fallos eléctricos...
 +  * Fallos de aplicación: Fallos de diseño o implementación que tienen consecuencias negativas en el sistema.
 +  * Amenazas accidentales
 +  * Causadas deliberadamente.
  
-===== Metodologías =====+Se estima la exposición de un activo basándonos en 2 aspectos: 
 +  * Degradación: La cantidad de daño causado al activo 
 +  * Posibilidad de ocurrencia: Con que fercuencia puede ocurrir
  
 +==== Impacto ====
  
-==== Magerit ==== +Es la pérdida de valor causada por un accidente. Hay varios factores a tener en cuenta: 
-Indica un conjunto de pasos que se deben realizar al analizar el riesgo.+  * Coste de reemplazo 
 +  * Coste de tiempo de trabajo invertido en la recuperación 
 +  * Pérdida de ganancias 
 +  * Pérdida de la operatividad 
 +  * Pérdidad de capacidad de tolerancia 
 +  * Penalizaciones debido al no cumplimiento de leyes o contratos 
 +  * Daño a otros activos 
 +  * Daños personales 
 +  * Daño medioambiental
  
-==== ISO27005 ====+==== Paso 3: Salvaguardas ==== 
 +Son procedimientos o mecanismos tecnológicos para reducir el riesgo. Hay 2 tipos de argumentos para rechazar una salvaguarda: 
 +  * No se aplica, no sirve para los activos de la ampresa 
 +  * No está justificada, es desproporcionada
  
master_cs/gsi/tm1.1757946420.txt.gz · Última modificación: 2025/09/15 14:27 por thejuanvisu

Herramientas de la página

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki