ANAL!S!S DE R!ESCOS ANAL!S!S DE R!

ESCOS
Problematica Problematica
!nexistencia o ineficiencia de los esquemas de !nexistencia o ineficiencia de los esquemas de
seguridad seguridad
Uso de herramientas tecnolgicas sin un previo Uso de herramientas tecnolgicas sin un previo
analisis de funcionalidad apropiados analisis de funcionalidad apropiados
Creencia de Creencia de Producto = Seguridad Producto = Seguridad
Definiciones Definiciones
Riesgo Riesgo
Posibilidad de sufrir una prdida o dano Posibilidad de sufrir una prdida o dano
C Contenido ontenido
Problematica Problematica
Definiciones Definiciones
Principios Principios
Analisis de riesgo Analisis de riesgo
Objetivos Objetivos
Beneficios Beneficios
Elementos Elementos
Activos Activos
Amenazas Amenazas
Clasificaciones Clasificaciones
Conclusiones Conclusiones
!SS DE RESCOS !SS DE RESCOS
nalisis de riesgo nalisis de riesgo
Proceso por el cual se identifican las amenazas y Proceso por el cual se identifican las amenazas y
vulnerabilidades de una organizacin vulnerabilidades de una organizacin
Con el fin de generar controles que minimicen los Con el fin de generar controles que minimicen los
efectos de los riesgos. efectos de los riesgos.
Objetivo del analisis de riesgo Objetivo del analisis de riesgo
'ener la capacidad de: 'ener la capacidad de:
Evaluar y manejar los riesgos de seguridad Evaluar y manejar los riesgos de seguridad
'omar las mejores decisiones en seguridad 'omar las mejores decisiones en seguridad
!nformatica !nformatica
Enfocar los esfuerzos en la proteccin de los activos Enfocar los esfuerzos en la proteccin de los activos
Beneficios del analisis de riesgo Beneficios del analisis de riesgo
Asegurar la continuidad operacional de la Asegurar la continuidad operacional de la
Organizacin Saber manejar las amenazas y riesgos criticos Organizacin Saber manejar las amenazas y riesgos criticos
antener una estrategia de proteccin y de reduccin de riesgos antener una estrategia de proteccin y de reduccin de riesgos
ustificar una mejora continua de la seguridad informatica ustificar una mejora continua de la seguridad informatica
Elementos de un nalisis de Riesgo Elementos de un nalisis de Riesgo
Construir el perfil de las amenazas basado en los Construir el perfil de las amenazas basado en los
activos activos
!dentificar los activos de la organizacin !dentificar los activos de la organizacin
!dentificar las amenazas a los activos !dentificar las amenazas a los activos
Conocer las practicas actuales de seguridad Conocer las practicas actuales de seguridad
!dentificar las vulnerabilidades organizacionales !dentificar las vulnerabilidades organizacionales
Recursos humanos, recursos tcnicos, etc. Recursos humanos, recursos tcnicos, etc.
!dentificar los requerimientos de seguridad de la !dentificar los requerimientos de seguridad de la
organizacin organizacin
!dentificar las vulnerabilidades de la infraestructura !dentificar las vulnerabilidades de la infraestructura
Detectar componentes claves Detectar componentes claves
Detectar las vulnerabilidades Detectar las vulnerabilidades
Elementos de un analisis de riesgo Elementos de un analisis de riesgo
Desarrollo de planes y estrategias de seguridad Desarrollo de planes y estrategias de seguridad
Riesgos para los activos criticos Riesgos para los activos criticos
edidas de riesgos edidas de riesgos
Estratgias de proteccin Estratgias de proteccin
Planes para reducir los riesgos Planes para reducir los riesgos
menazas mbientales menazas mbientales
Desastres naturales (terremotos, tormentas, etc.) Desastres naturales (terremotos, tormentas, etc.)
Condiciones ambientales (fallas del suministro Condiciones ambientales (fallas del suministro
elctrico, contaminacin, etc.) elctrico, contaminacin, etc.)
Deliberadas Deliberadas
Sabotaje, cdigo malicioso, fraudes, etc. Sabotaje, cdigo malicioso, fraudes, etc.
Accidentales Accidentales
Errores de usuarios, errores de programacin, fallas Errores de usuarios, errores de programacin, fallas
en los servicios de comunicacin, etc. en los servicios de comunicacin, etc.
Relacin de riesgos Relacin de riesgos
Amenazas vulnerabilidades Amenazas vulnerabilidades
Controles de Controles de
Seguridad Seguridad
Riesgos de Riesgos de
Seguridad Seguridad
Activos Activos
valor de los activos valor de los activos
impacto potencial impacto potencial
Conclusiones Conclusiones
La seguridad no es un producto La seguridad no es un producto
La seguridad es un conjunto de planes y La seguridad es un conjunto de planes y
Estrategias enfocadas a reducir los riesgos Estrategias enfocadas a reducir los riesgos
El Analisis de riesgo es la forma de conocer las El Analisis de riesgo es la forma de conocer las
vulnerabilidades de una organizacin, asi como vulnerabilidades de una organizacin, asi como
las amenazas que enfrenta. las amenazas que enfrenta.
En un objetivo especifico a proteger y por un tiempo En un objetivo especifico a proteger y por un tiempo
determinado, permite disenar politicas de seguridad para determinado, permite disenar politicas de seguridad para
ese objetivo, utilizando aparentemente, una ese objetivo, utilizando aparentemente, una
incontrovertible base cientifica. Lo anterior ha dado incontrovertible base cientifica. Lo anterior ha dado
origen a mtodos como el osler, entre otros. origen a mtodos como el osler, entre otros.
Cuando un Experto en Seguridad es consultado acerca Cuando un Experto en Seguridad es consultado acerca
de sistemas de prevencin de riesgos y proteccin de de sistemas de prevencin de riesgos y proteccin de
personas y bienes, debe trabajar metdicamente a fin de personas y bienes, debe trabajar metdicamente a fin de
llegar a una evaluacin correcta. llegar a una evaluacin correcta.
E'ODO E'ODO
Empleando el todo osler, que se Empleando el todo osler, que se
aplica al analisis y clasificacin de los aplica al analisis y clasificacin de los
riesgos, y tiene como objetivo identificar, riesgos, y tiene como objetivo identificar,
analizar y evaluar los factores que puedan analizar y evaluar los factores que puedan
influir en su manifestacin, podra hacer influir en su manifestacin, podra hacer
una evaluacin ajustada de los mismos. una evaluacin ajustada de los mismos.
ASES ASES
El todo osler se desarrolla en cuatro fases: El todo osler se desarrolla en cuatro fases:
ase 1 ase 1
Definicin del riesgo Definicin del riesgo
ase 2 ase 2
analisis de riesgo analisis de riesgo
Se utilizan los siguientes criterios: Se utilizan los siguientes criterios:
Criterio de uncin () Criterio de uncin ()
mide cual es la consecuencia del dano mide cual es la consecuencia del dano
Criterio de Sustitucin (S) Criterio de Sustitucin (S)
mide con qu facilidad pueden reponerse los bienes mide con qu facilidad pueden reponerse los bienes
Criterio de Profundidad o Perturbacin (P) Criterio de Profundidad o Perturbacin (P)
mide la perturbacin y efectos psicolgicos en funcin que alguno de los mide la perturbacin y efectos psicolgicos en funcin que alguno de los
riesgos se haga presente riesgos se haga presente
Criterio de extensin (E) Criterio de extensin (E)
mide el alcance de los danos, en caso de que se produzca un riesgo a nivel mide el alcance de los danos, en caso de que se produzca un riesgo a nivel
geografico geografico
Criterio de agresin (A) Criterio de agresin (A)
mide la probabilidad de que el riesgo se mide la probabilidad de que el riesgo se
manifieste manifieste
Criterio de vulnerabilidad (v) Criterio de vulnerabilidad (v)
mide y analiza la posibilidad se se produzca el mide y analiza la posibilidad se se produzca el
dano dano
ase 3 ase 3
Evaluacin del riesgo Evaluacin del riesgo
ase 4 ase 4
Clasificacin del riesgo Clasificacin del riesgo
El todo osler, a que hacemos referencia al El todo osler, a que hacemos referencia al
inicio, es una teoria de imposible praxis a la vida inicio, es una teoria de imposible praxis a la vida
comunitaria. edianamente, se puede aplicar en comunitaria. edianamente, se puede aplicar en
la faz privada, pero limitada a una gran la faz privada, pero limitada a una gran
Corporacin, donde un Director o Cerente de Corporacin, donde un Director o Cerente de
Seguridad Empresaria cuente con el aval de la Seguridad Empresaria cuente con el aval de la
Conduccin Superior para implementarlo y que Conduccin Superior para implementarlo y que
no quede archivado en un bibliorato. no quede archivado en un bibliorato.