Metodologia para determinar las amenazas a los activos
-
Upload
alexander-velasque -
Category
Technology
-
view
1.154 -
download
2
Transcript of Metodologia para determinar las amenazas a los activos
1
2
METODOLOGÍA PARA DETERMINAR LAS AMENAZAS
A LOS ACTIVOS LAYME VELÁSQUEZ, Rubén Darío
PEÑA MANRIQUE, José Luís
3
CONTENIDO
INTRODUCCIÓN
METODOLOGÍA PARA DETERMINAR LAS AMENAZAS A LOS ACTIVOS
CONCLUSIONES
RECOMENDACIONES
4
INTRODUCCIÓN
La meta principal de la administración del riesgo informático debería ser “proteger a la organización y su habilidad de manejar su misión” no solamente la protección de los elementos informáticos.
Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad, considerando la probabilidad y la importancia de ocurrencia.
Entonces, el análisis de riesgo informático se vuelve un elemento importante que forma parte del programa de gestión de continuidad de negocio.
5
PROCESO DE EVALUACIÓN DEL RIESGO
REQUERIMIENTOS DE SEGURIDAD
CONTROLES
AMENAZAS VULNERABILIDADES
ACTIVOS
VALOR DE LOS ACTIVOS
Aumentan Aumentan
Aumenta
Impactan si sematerializan
MarcanImponen
Disminuyen
Protegen de
Aprovechan
Tienen
Exponen
6
METODOLOGÍAS DE ANÁLISIS DE RIESGOS
MAGERIT
• Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
OCTAVE
• Metodología de Análisis y Gestión de Riesgos. (Operationally Critical Threat, Asset, and Vulnerability Evaluation)
7
METODOLOGÍAS DE ANÁLISIS DE RIESGOS
MAGERIT
• Valor y dependencias entre activos.
• Relación de las amenazas a que están expuestos los activos.
• Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema.
• Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación.
• Magerit comprende 4 fases.• Conjunto de programas de
seguridad que permiten materializar las decisiones de gestión de riesgos.
OCTAVE
• Identificar recursos importantes• Enfocar las actividades de análisis
de riesgos• Relacionar amenazas y
vulnerabilidades• Evaluar riesgos• Crear una estrategia de
protección• Define el rumbo de la compañía• Acciones a corto plazo• El método octave usa 3 fases
para examinar asuntos tecnológicos y de organización.
• La tecnología se examina únicamente en relación a las prácticas de seguridad.
8
SELECCIÓN DE METODOLOGÍA
9
MAGERIT
10
MAGERIT
11
ESTABLECIMIENTO DE PARAMETROS
12
VALORACIÓN DE ACTIVOS
13
AMENAZAS GLOBALES
14
CONTROLES POR AMENAZAS
15
CONTROLES POR AMENAZAS
16
RESULTADOS PARA LA GERENCIA
17
ANÁLISIS Y GESTIÓN DE RIESGOS PARA EL SERVIDOR RADIUS DEL LABORATORIO DE LA
F.I.S. (ESCUELA POLITÉCNICA NACIONAL - QUITO)
18
SITUACIÓN ACTUAL DEL SERVIDOR
19
ANÁLISIS Y GESTIÓN RIESGOS DEL SERVIDOR RADIUS
20
ANÁLISIS Y GESTIÓN RIESGOS DEL SERVIDOR RADIUS
21
ACTIVOS (PILAR)
22
ACTIVOS (PILAR)
23
AMENAZAS (PILAR)
24
AMENAZAS (PILAR)
25
AMENAZAS (PILAR)
26
ESTIMACIÓN DE ESTADO DE RIESGO
27
SALVAGUARDA
28
ANÁLISIS Y GESTIÓN RIESGOS DEL SERVIDOR RADIUS
29
RETORNO DE INVERSIÓN
30
31
PLAN DE MITIGACIÓN
32
CONCLUSIONES
La forma de conseguir el mayor beneficio en seguridad de la información es contar con una adecuada evaluación de riesgos, que oriente las inversiones, que minimicen el impacto en casos de incidentes
La seguridad de la información no es una responsabilidad únicamente del área de tecnología debe fluir desde la alta gerencia hacia todos los procesos de negocios
Un comité de seguridad de la información compuesto por cada jefe de área genera más compromiso para hacer cumplir las políticas de seguridad de la información
Si la seguridad de la información depende únicamente de IT entonces la probabilidad es del 100% de que no se implemente
33
RECOMENDACIONES
Utilizar la metodología MAGERIT, para instituciones públicas o privadas que contenga activos tangibles o intangibles, complementando el análisis con la herramienta PILAR, que es una herramienta propia automatizada y basada en la metodología, que permite trabajar con un amplio conjunto de activos, amenazas y salvaguardas.
Identificar en que sitios van a residir los activos o datos importantes por su confidencialidad e integridad, por su valor de carácter personal, por su clasificación de seguridad, y por qué lugares van a circular.
Registrar y documentar: los procesos, actividades y tareas del personal que maneja los sistemas informáticos, para poder ser utilizados en un AGR, como también ser una guía para un nuevo personal.
Difundir los Planes de Mitigación de riesgos a las personas encargadas de la administración del área de sistemas, con el fin de que sepan que acciones realizar en caso de presentarse incidentes de seguridad.
34
GRACIAS.