Administracin del Riesgo

Fundamentos de seguridad NRC: 3320

Lema

Incidente de Seguridad:
Un incidente de seguridad es cualquier evento que tenga o pueda tener como resultado la interrupcin de los servicios suministrados por un sistema informtico. Posibles perdidas fsicas de activos o financieras.

Ataque: La materializacin de una amenaza

Conceptos
Activos: elementos que pertenecen a la empresa y que se quieren proteger
Datos - Instalaciones Software - Personal Hardware Servicios

Amenazas:
Interrupcin - Modificacin Interceptacin Fabricacin Sabotaje dao fraude ,etc

Vulnerabilidad:
Es un fallo en el diseo o configuracin de un software.
Una vulnerabilidad genera un expediente de seguridad. Identificado por su CVE (Common Vulnerabilities and Exposures). Cualquier debilidad en el sistema informtico que puede permitir a las amenazas causarle daos y producir perdidas en la organizacin http://cve.mitre.org/ http://nvd.nist.gov/

Definiciones generales
Mitigacin: solucin de un riesgo mediante la adopcin de medidas diseadas para contrarrestar la amenaza. Evaluacin de riesgo: proceso mediante el que se identifican los riesgos y se determinan sus efectos. Administracin de riesgos: proceso para determinar un nivel de riesgo aceptable, evaluar el nivel de riesgo actual
Adoptar medidas para reducir el riesgo al nivel aceptable y mantener dicho nivel de riesgo.

Manejo del Riesgo

Manejo de incidentes 1. Enfoque reactivo 2. El ataque esta ocurriendo o ocurri. 3. Administracin del riesgo 4. Enfoque proactivo 5. Minizar la probabilidad de ocurrencia del ataque

Identificar y evaluar las opciones para el tratamiento de los Riesgos

Las posibles acciones incluyen: 1. Aplicar los controles apropiados. 2. Aceptar los riesgos con conocimiento y objetividad, siempre y cuando satisfagan claramente la poltica y los criterios de la organizacin para la aceptacin de riesgos [vase el numeral 4.2.1 c)]. 3. Evitar riesgos. 4. Transferir los riesgos asociados con el negocio, a otras partes, por ejemplo: aseguradoras, proveedores, etc.

Enfoques
Reactivo

Proactivo

Cuantitativo

Cualitativo

Mixto

Tarea
Identifique mnimo 5 activos relacionados al proceso (Tangible e Intangible). Valorice los activos tangibles con metodologa cuantitativa y los intangibles con metodologa Cualitativa.

MATRIZ DE INVENTARIO DE ACTIVOS

CODIGO NOMBRE DESCRIPCION
ESCENARIOS O DOMINIOS RELACIONADOS

PROPIETARIO RESPONSABLE

UBICACION

DEPENDENCIAS

2007000-9

SERVIDOR

ASTERISK

CALL-01

PEPITO PEREZ

SALA 7-P4

TECNOLOGIAS

Valorizacin del activo Costo de adquirir, desarrollar o mantener

Costo de mantenimiento Costo de proteccin Valor del activo para propietario Valor del activo para la competencia Valor de la propiedad intelectual Costo de sustituir el activo Actividades afectadas en caso de falla Utilidad y funcionamiento del activo

VALORIZACION
CUANTITATIVA
Tangibles Muebles Equipos Edificios

CUALITATIVA Intagibles Marca Datos Informacion Costo de sustitucion de datos software

Valor de confidencialidad, disponibilidad e Integridad http://secunia.com/vulnerability_scanning/online/?task=load

Etapas de administracin
Elaboracin de lista de Riesgos. Nivel detallado Etapas de administracin Tarea 1: determinar las repercusiones y la exposicin. Tarea 2: identificar los controles actuales. Tarea 3: determinar la probabilidad de repercusiones. Tarea 4: determinar el nivel de riesgo detallado.

Criterios de manera cualitativa

COMO VALORAR?

Criterios para valorar mis activos. Grupo de expertos de la organizacin valoriza, interdisciplinaria mente

Valoracin

Se realiza el informe y se entrega al grupo interdisciplinario para ser concertado