Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio

Estás aquí: inicio » master_cs » gsi » tm1

Barra lateral

Enlaces
Invítame a un Café
RetroGamesHistory
RetroComputerHistory
RetroVisu Canal de YT
Master en Ciberseguridad
[1C] Anbálisis del Malware
[1C] Seguridad de la Información
[1C] Redes Seguras
[1C] Privacidad y Anonimato
[1C] Seguridad de Aplicaciones
[1C] Tecnologías de Registro Distribuido y Blockchain
[2C] Fortificación
[2C] Seguridad en Centros de Datos
[2C] Hacking Ético
[2C] Seguridad de comunicaciones
[2C] Análisis Forense
[2C] Negocio en Ciberseguridad y Emprendimiento
[2C] Ciberseguridad Industrial e IoT
[3C] Gestión de la Seguridad de la Información
[3C] Conceptos y Leyes
Ingeniería Informática
Kotlin
Swift
Desarrollo Aplicaciones Distribuidas I
Desarrollo Aplicaciones Distribuidas II
Ingeniería de Requisitos
Modelado del Software
Proyecto Integral de Ingeniería del Software
Metodologías Ágiles
Trabajo Fin De Grado
Guía Memoria TFG
Servidores
Minercraft
Knoppia
Omegacraft
Base de datos de juegos
GameBoy Advance (GBA)
Chacharreo
Instalar Windows 11 Sin cuenta
Habilitar click con doble toque en pad MacOS
Comandos para Optimización de Máquina Virtual MacOS
Optimización MacOS
Deshabilitar Windows Update
Recuperar Contraseña Olvidada de Windows

Colecciones

Colección de Consolas

Colección de Juegos

Colección de Ordenadores

Colección Microordenadores

Otros

Seminario de Accesibilidad

master_cs:gsi:tm1

¡Esta es una revisión vieja del documento!

Tabla de Contenidos

Análisis de Riesgos

Existen normas para la gestión de la seguridad de la información como Esquema Nacional de Seguridad (ENS) ISO27001

Pero estas normas no establecen como se debe realizar el análisis de riesgo, para ello existen metodologías como Magerit o las ISO27005

Como medir el riesgos

Se tienen en cuenta la combinación de la probabilidad que ocurran y el impacto que puede provocar dicho riesgo. Cuanto mayores sean la probabilidad y el impacto, peor.

  • El impacto se suele analizar calculando pérdidas económicas, reputacionales o pérdidas en el servicio. Se suelen usar escalas de 5 o 7 niveles yendo de extremadamenete bajo a extremadamente alto.
  • Riesgo = Impacto (Consecuencias) * Probabilidad
  • Formas
    • Cuantitativa: Cifra numérica
    • cualitativa
    • semicuantitativa: Permite establecer el valor de otros elementos.

Se suele hacer una tabla con la probabilidad y el impacto, marcando una zona roja, otra amarilla y una verde en función al riesgo siendo rojo el más alto y verde el más bajo.

El riesgo se puede analizar con las siguientes metodologías:

  • Octave
  • Fair
  • Nist SP800-30
    • Caracterización del sistema
    • Identificación de amenzadas
    • Análisis del control
    • Determinación de probabilidad de siceso
    • Analisis del impacto
  • ISO 27005:
    • Identificación del riesgo:
      • Identificación de activos
      • Identificación de amenazas
      • Identificación de contorles existentes
      • Identifficación de vulnerabilidades
      • Identificación de consecuencias
    • Estimación del riesgo
      • Estimación de consecuencias
      • Estimación de posibilidad de incidente
      • Estimación del nivel de riesgo
    • Evaluación del riesgo

Puntuaciones de probabilidad del OWASP

  • Nivel de destreza del agente que lanza una amenzasa: ¿Pueden ser el sistema explotado por un agente con poca destreza?
  • Motivo: Recompensa alta o baja
  • Oportunidad: Que oportunidades tiene un grupo de agentes de encontrar vulnerabilidades en el sistema.
  • Tamaño: Como de grande es el grupo de agentes.

Metodologías

Magerit

Indica un conjunto de pasos que se deben realizar al analizar el riesgo.

ISO27005

master_cs/gsi/tm1.1757946571.txt.gz · Última modificación: 2025/09/15 14:29 por thejuanvisu

Herramientas de la página

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki