Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio

Estás aquí: Knoppia Wiki » Apuntes Master en CiberSeguridad (MUNICS) Inter-Universitario UDC y UVIGO » Gestión de la seguridad de la información » Análisis de Riesgos
master_cs:gsi:tm1

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
master_cs:gsi:tm1 [2025/09/15 14:37] thejuanvisumaster_cs:gsi:tm1 [2026/01/13 19:59] (actual) thejuanvisu
Línea 10: Línea 10:
 Se tienen en cuenta la combinación de la probabilidad que ocurran y el impacto que puede provocar dicho riesgo. Cuanto mayores sean la probabilidad y el impacto, peor. Se tienen en cuenta la combinación de la probabilidad que ocurran y el impacto que puede provocar dicho riesgo. Cuanto mayores sean la probabilidad y el impacto, peor.
   * El **impacto** se suele analizar calculando pérdidas económicas, reputacionales o pérdidas en el servicio. Se suelen usar escalas de 5 o 7 niveles yendo de extremadamenete bajo a extremadamente alto.   * El **impacto** se suele analizar calculando pérdidas económicas, reputacionales o pérdidas en el servicio. Se suelen usar escalas de 5 o 7 niveles yendo de extremadamenete bajo a extremadamente alto.
-  * Riesgo = Impacto (Consecuencias) * Probabilidad+<WRAP box> 
 +$Riesgo = Impacto (Consecuencias) * Probabilidad
 +</WRAP>
   * Formas   * Formas
     * Cuantitativa: Cifra numérica     * Cuantitativa: Cifra numérica
Línea 54: Línea 56:
  
 Se tienen en cuenta los siguientes factores en las vulnerabilideaes: Se tienen en cuenta los siguientes factores en las vulnerabilideaes:
-  * Facilidad de descubrimiento +  * **Facilidad de descubrimiento**: como de fácil es para un agente descubrir la vulnerabilidad 
-  * Facilidad de explotación +  * **Facilidad de explotación**: Como de fácil es para un grupo de agentes explotar la vulnerabilidad 
-  * Facilidad de intrusión+  * **Conocimiento**: Como de conocida es la vulnerabilidad entre el grupo de agentes. 
 +  * **Facilidad de intrusión**: Cual es la posibilidad de detectar el exploit.
  
 ===== Escala de impacto ===== ===== Escala de impacto =====
Línea 74: Línea 77:
     * Integridad     * Integridad
     * Disponibilidad     * Disponibilidad
-===== Metodologías ===== 
  
 +===== Puntuaciones de Impacto del OWASP =====
 +==== Factores técnicos ====
 +  * **Pérdida de confidencialidad**: Cuantos datos puieden ser difundidos y como de sensibles son.
 +  * **Pérdida de integridad**: Cuantos datos pueden ser corrompidos o dañados
 +  * **Perdida de disponibilidad**: Cuanto serivio puede ser perdido y como de vital es.
  
-==== Magerit ==== +==== Factores de impacto de negocio ==== 
-Indica un conjunto de pasos que se deben realizar al analizar el riesgo.+  * **Daño financiero**: Cuanto daño financiero puede resultar de un exploit 
 +  * **Daño reputacional**: Cuando taño repuitacional puede provocar un exploit y como puede dañar al negocio. 
 +  * **No Cumplimiento**: Cuanta exposición puede provocar el no cumplimiento. 
 +  * **Violación de la privacidad**: Cuantos datos identificables pueden ser difundidos.
  
-==== ISO27005 ====+ 
 +===== Opciones del tratamiento del riesgo ===== 
 +  * **Evitar el riesgo**: Tomar medidas que eliminen completamente el riesgo. 
 +  * **Reducir el riesgo**: Tomar medidas que mitiguen el riesgo. 
 +    * Reducir la probabilidad de que ocurra 
 +    * Reducir las consecuencias. 
 +  * **Trasferir el riesgo** 
 +  * **Aceptar el riesgo**: No tratarlo, tolerarlo. No confundir con no conocer el riesgo. Aunque no se trate, existen medidas de contingencia en caso de que ocurra. 
 + 
 +==== Contramedidas ==== 
 +  * A nivel operacional: 
 +    * Controles físicos 
 +    * Controles procedurales: Políticas empresariales 
 +    * Controles técnicos: Equipamiento de red, firewalls... 
 +  * A nivel temporal: 
 +    * Controles preventivos 
 +    * Controles directivos 
 +    * Controles detectores 
 +    * Controles correcivos 
 + 
 +===== MAGERIT (Metodología de Análisis y GEstión de Riesgos para Information Technologies) ===== 
 +Indica un conjunto de pasos que se deben realizar al analizar el riesgo. Tiene los siguientes objetivos: 
 + 
 +==== Objetivos ==== 
 +__//Objetivos directos//__ 
 +  * Hacer que los responsables de los sistemas de la información sean conscientes de la existencia de riegos y la necesidad de mitigarlos a tiempo. 
 +  * Ofrecer un método sistemático para el análisis de dichos riresgos. 
 +  * Ayudar a describir y planear las medidas apropiadas para matener el riesgo bajo control. 
 + 
 +__//Objetivos Indirectos//__ 
 +  * Preparar la organización para el proceso de evaluación, auditoría, certificación y acreditación. 
 + 
 +==== Dimensiones de la seguridad ==== 
 +  * Confidencialidad, integridad y disponibilidad 
 +  * Autenticidad. 
 +  * Responsabilidad. 
 + 
 + 
 +==== Método de Análisis de Riesgos ==== 
 + 
 +  - Determinar los **activos** relevantes de la organización, su valor y el coste causado por su daño o pérdida. 
 +  - Determinar las **amenazas** a las que están expuestos dichos activos 
 +  - Determinar que **salvaguardas** están disponibles y como de efectivas son contra el riesgo 
 +  - Estimar el **impacto** de la aparición de una amenaza 
 +  - Estimar el **riesgo** 
 + 
 +==== Paso 1: Activos ==== 
 +Los activos incluyen información, datos, servicios, software, equipamiento, comunicaciones, media, instalaciones y personal. Hay dos tipos especiales de activo en un sistema de información: 
 +  * La información que se maneja 
 +  * Los servicios proveidos 
 + 
 +Solo aquellas fuentes de información que tengan valor para la organización se consideran de importancia. 
 + 
 +==== Paso 2: Amenazas ==== 
 +Son eventos que causan un incidente en la organización, provocando daños a la propiedad o pérdidas intangibles en los activos. Hay varios tipos: 
 +  * Origen natural: Desastres naturales 
 +  * Ambientales: Contaminación, fallos eléctricos... 
 +  * Fallos de aplicación: Fallos de diseño o implementación que tienen consecuencias negativas en el sistema. 
 +  * Amenazas accidentales 
 +  * Causadas deliberadamente. 
 + 
 +Se estima la exposición de un activo basándonos en 2 aspectos: 
 +  * Degradación: La cantidad de daño causado al activo 
 +  * Posibilidad de ocurrencia: Con que fercuencia puede ocurrir 
 + 
 +==== Impacto ==== 
 + 
 +Es la pérdida de valor causada por un accidente. Hay varios factores a tener en cuenta: 
 +  * Coste de reemplazo 
 +  * Coste de tiempo de trabajo invertido en la recuperación 
 +  * Pérdida de ganancias 
 +  * Pérdida de la operatividad 
 +  * Pérdidad de capacidad de tolerancia 
 +  * Penalizaciones debido al no cumplimiento de leyes o contratos 
 +  * Daño a otros activos 
 +  * Daños personales 
 +  * Daño medioambiental 
 + 
 +==== Paso 3: Salvaguardas ==== 
 +Son procedimientos o mecanismos tecnológicos para reducir el riesgo. Hay 2 tipos de argumentos para rechazar una salvaguarda: 
 +  * No se aplica, no sirve para los activos de la ampresa 
 +  * No está justificada, es desproporcionada
  
master_cs/gsi/tm1.1757947026.txt.gz · Última modificación: 2025/09/15 14:37 por thejuanvisu

Herramientas de la página

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki