Professional Documents
Culture Documents
• Indirectos:
• preparar a la Organización para procesos de evaluación, auditoría,
certificación o acreditación, según corresponda en cada caso.
Las aplicaciones Los equipos informáticos
DATOS: que
informáticas (SOFTWARE) (HARDWARE) que permiten
materializan la
que permiten manejar los hospedar datos, aplicaciones
información.
datos. y servicios.
SOPORTE DE
LAS REDES DE
INFORMACIÓN que son INFORMACIÓN COMUNICACIONES que
dispositivos de QUE MANEJA Y permiten intercambiar
almacenamiento de datos
SERVICIOS QUE datos.
LAS INSTALACIONES que PRESTA
acogen equipos informáticos EQUIPAMIENTO AUXILIAR
y de comunicaciones. que complementa el
material informático.
SERVICIOS AUXILIARES
Servicios auxiliares que se PERSONAS que explotan u
necesitan para poder operan todos los elementos
organizar el sistema. anteriormente citados.
Fuente: Magerit
Los activos esenciales son la
información y los servicios
prestados
DEPENDEN
Otros activos como pueden ser
los equipos, las comunicaciones,
las instalaciones, etc. SE FORMAN
ÁRBOLES O GRAFOS de
dependencia donde la seguridad
de los activos que se encuentran
más arriba en la estructura o
‘superiores’
DEPENDEN
Trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se
le presta tal servicio? O sea, ¿quién hace qué y cuándo? ¿qué daño
causaría no saber quién accede a qué datos y qué hace con ellos?
VALORACIÓN VALORACIÓN
CUALITATIVA CUANTITATIVA
Del entorno (de Defectos de las Causadas por las Causadas por las
De origen natural origen industrial) aplicaciones personas de forma personas de forma
accidental deliberada
• Hay accidentes • Hay desastres • Hay problemas • Las personas con • Las personas con
naturales industriales que nacen acceso al sistema acceso al sistema
(terremotos, (contaminación, directamente en de información de información
inundaciones, ...). fallos eléctricos, el equipamiento pueden ser causa pueden ser causa
Ante esos ...) ante los cuales propio por de problemas no de problemas
avatares el el sistema de defectos en su intencionados, intencionados:
sistema de información es diseño o en su típicamente por ataques
información es víctima pasiva; implementación, error o por deliberados; bien
víctima pasiva, pero no por ser con consecuencias omisión. con ánimo de
pero de todas pasivos hay que potencialmente beneficiarse
formas tendremos permanecer negativas sobre indebidamente,
en cuenta lo que indefensos. el sistema. bien con ánimo
puede suceder. Frecuentemente se de causar daños
denominan y perjuicios a los
vulnerabilidades legítimos
técnicas o, propietarios.
simplemente,
‘vulnerabilidades’.
No todas las amenazas afectan a todos los activos, sino que hay una cierta
relación entre el tipo de activo y lo que le podría ocurrir.
Una vez determinado que una amenaza puede perjudicar a
un activo, hay que valorar su influencia en el valor del activo,
en dos sentidos:
DEGRADACIÓN: PROBABILIDAD:
cuán perjudicado resultaría el cuán probable o improbable es
[valor del] activo que se materialice la amenaza
CUANTITATIVO
Se denomina impacto a la medida del daño sobre el activo derivado de la
materialización de una amenaza. Conociendo el valor de los activos (en varias
dimensiones) y la degradación que causan las amenazas, es directo derivar el
impacto que estas tendrían sobre el sistema.
Impacto acumulado
Impacto repercutido
Es el calculado sobre un activo
Es el calculado sobre un activo
teniendo en cuenta:
teniendo en cuenta:
• su valor acumulado (el propio
• su valor propio
mas el acumulado de los activos
• las amenazas a que están
que dependen de él)
expuestos los activos de los que
• las amenazas a que está
depende
expuesto.
SELECCIÓN
1. tipo de activos a proteger, pues
cada tipo se protege de una forma
específica
2. dimensión o dimensiones de
seguridad que requieren protección
3. amenazas de las que necesitamos
protegernos
4. si existen salvaguardas
alternativas
NO APLICA
“DECLARACIÓN DE
APLICABILIDAD”
NO SE JUSTIFICA
Reducir la
probabilidad de las
“EFECTOS DE LAS amenazas.
SALVAGUARDAS”
Limitar el daño
causado.
TIPOS DE PROTECCIÓN
[IM] minimización
del impacto / [CR] corrección [RC] recuperación
limitación del
impacto
[AD]
administración
EFICACIA DE LA PROTECCIÓN:
OPERACIÓN DE LA
TÉCNICO SALVARGUARDA
• es técnicamente idónea para • está perfectamente
enfrentarse al riesgo que desplegada, configurada y
protege mantenida
• se emplea siempre • existen procedimientos claros
de uso normal
• en caso de incidencias los
usuarios están formados y
concienciados
• existen controles que avisan
de posibles fallos
• MAGERIT – versión 3.0 Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información. Libro I – Método.
• MAGERIT – versión 3.0 Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información. Libro II - Catálogo de
Elementos.
• MAGERIT – versión 3.0 Metodología de Análisis y Gestión de
Riesgos de los Sistemas de Información. Libro III - Guía de
Técnicas.