Resumen Magerit v3 Libro1 M©todo Es NIPO

download Resumen Magerit v3 Libro1 M©todo Es NIPO

of 58

  • date post

    22-Feb-2018
  • Category

    Documents

  • view

    224
  • download

    0

Embed Size (px)

Transcript of Resumen Magerit v3 Libro1 M©todo Es NIPO

  • 7/24/2019 Resumen Magerit v3 Libro1 Mtodo Es NIPO

    1/58

    U N I V E R S I D A D N A C I O N A L D E L

    S A N T A

    FA C U LTA D D E I N G E N I E R I A

    E A P : S I S T E M A S E I N F O R M AT I C A

    A U D I T O R I A D E S I S T E M A S

    Tema: Metodologa de Anlisis yGestin de Riesgos de los

    Sistemas de Informacin.

    Docente: Ing. Camilo Ernesto Suare

    Re!aa

    Ciclo: "

    Integrantes:

    C#$e %tiniano Mel&uisedec 'ernnde I(ana&ue Mara )olanda

    Marcelo Gme *uis Ricardo

    *(e +orres ,e$in Marino

    Sil$a -uertas Consuelo Isa!el

    trilla Camones /a$ier

    Nuevo Chimbote, Setiembre del 2015

  • 7/24/2019 Resumen Magerit v3 Libro1 Mtodo Es NIPO

    2/58

    Magerit 3.0 Proyectos de anlisis de riesgos

    Ministerio de Hacienda y Administraciones Pblicas

    METODOLOGIA DE ANALISIS Y GESTION DE RIESGOS D ELOS SISTEMAS DE INFORMACION

    -MAGERIT-

    1. INTRODUCCION:

    El uso de tecnologas de la informacin y comunicaciones !"#$ su%one unos beneficiose&identes %ara los ciudadanos' %ero tambi(n da lugar a ciertos riesgos )ue deben gestionarse%rudentemente con medidas de seguridad )ue sustenten la confian*a de los usuarios de losser&icios.

    +.+ ,-E /,"E12

    a gestin de los riesgos es una %iedra angular en las guas de buen gobierno 4"53670089 %blico o %ri&ado9 donde se considera un %rinci%io fundamental )ue lasdecisiones de gobierno se fundamenten en el conocimiento de los riesgos )ueim%lican2

    +.:.+; Pro%uesta

    Recopilacin de los beneficios, costos, riesgos, oportunidades, y otros factores que

    deben tenerse en cuenta en las decisiones que se tomen.

    #ubriendo riesgos en general y riesgos !"# en %articular2

    Esta norma establece los principios para el uso eficaz, eficiente y aceptable de las

    tecnolo-gas de la informacin. Garantizando que sus organizaciones siguen estos

    principios ayuda-r a los directores a equilibrar riesgos y oportunidades derivados deluso de las !.

    +.; #o es9 sim%lemente9im%rescindi?ble %ara %oder gestionarlos."# Evaluacin del riesgo. $os participantes deben llevar a cabo evaluaciones de riesgo.

    %rtculo ". Gestin de la seguridad basada en los riesgos.&. El anlisis y gestin de riesgos ser parte esencial del proceso de seguridad ydeber mantenerse permanentemente actualizado.

    '. $a gestin de riesgos permitir el mantenimiento de un entorno controlado,

    minimizando los riesgos (asta niveles aceptables.+.@ MA/E1"!2

    Magerit res%onde a lo )ue se denomina Proceso de /estin de los 1iesgosBMA/E1"! im%lementa el Proceso de /estin de 1iesgos dentro de un marco detraba>o %ara )ue los rganos de gobierno tomen decisiones teniendo en cuenta losriesgos deri&ados del uso de tecnologas de la informacin

  • 7/24/2019 Resumen Magerit v3 Libro1 Mtodo Es NIPO

    3/58

    Magerit 3.0 Proyectos de anlisis de riesgos

    Ministerio de Hacienda y Administraciones Pblicas

    +.7 "!1C-##" A AA"5"5 CE /E5!" CE 1"E5/525eguridad es la ca%acidad de las redes o de los sistemas de informacin %ara resistir9con un de?terminado ni&el de confian*a9 los accidentes o acciones ilcitas omalintencionadas )ue com%ro metan la dis%onibilidad9 autenticidad9 integridad yconfidencialidad de los datos almacenados o transmitidos y de los ser&icios )ue dicDasredes y sistemas ofrecen o Dacen accesibles

    +.: AA"5"5 !1A!AM"E! CE 5 1"E5/5 E 5- #!EF!2El anlisis de riesgos %ermite determinar cmo es9 cunto &ale y cmo de %rotegido seencuentra el sistema. En coordinacin con los ob>eti&os9 estrategia y %oltica de largani*acin9 las acti&idades de tratamiento de los riesgos %ermiten elaborar un %lande seguridad )ue9 im%lantado y o%erado9 satisfaga los ob>eti&os %ro%uestos con el ni&el

    de riesgo )ue ace%ta la Cireccin. Al con>unto de estas acti&idades se le denominaProceso de /estin de 1iesgos.

    +.:.+ ##"E#"A#"

  • 7/24/2019 Resumen Magerit v3 Libro1 Mtodo Es NIPO

    4/58

    Magerit 3.0 Proyectos de anlisis de riesgos

    Ministerio de Hacienda y Administraciones Pblicas

    +.G 1/A"=A#" CE A5 /-"A5Esta &ersin 3 de Magerit se Da estructurado en dos libros y una gua de t(cnicas2I ibro " J M(todoI ibro "" J #atlogo de elementosI /ua de !(cnicas J 1eco%ilacin de t(cnicas de diferente ti%o )ue %ueden ser deutilidad %ara la a%licacin del m(todo.

    +.G.+ MC CE EMPE25iem%re se eK%lican informalmente las acti&idades a reali*ar9 y en ciertos casos seformali*an co?mo tareas )ue %ermiten una %lanificacin y seguimiento

    +.G.; #A!A/ CE EEME!55e %ro%one un catlogo9 abierto a am%liaciones9 )ue marca unas %autas encuanto a2

    L ti%os de acti&osL dimensiones de &aloracin de los acti&osL criterios de &aloracin de los acti&osL amena*as t%icas sobre los sistemas de informacinL sal&aguardas a considerar %ara %roteger sistemas de informacin

    +.6 EA-A#"9 #E1!"

  • 7/24/2019 Resumen Magerit v3 Libro1 Mtodo Es NIPO

    5/58

    Magerit 3.0 Proyectos de anlisis de riesgos

    Ministerio de Hacienda y Administraciones Pblicas

    +.N O#-AC P1#ECE AA"=A1 /E5!"A1 5 1"E/52En %articular en cual)uier entorno donde se %racti)ue la tramitacin electrnica debienes y ser&icios9 sea en conteKto %blico o %ri&ado.2. VISION DE CONJUNTO:

    ". AA"5"5 CE 1"E5/52

    3. METODO DE ANALISISI DE RIESGOS

    3.+ ##EP!5 PA5 A PA52

  • 7/24/2019 Resumen Magerit v3 Libro1 Mtodo Es NIPO

    6/58

    Magerit 3.0 Proyectos de anlisis de riesgos

    Ministerio de Hacienda y Administraciones Pblicas

    El anlisis de riesgos es una a%roKimacin metdica %ara determinar el riesgo siguiendo unos%a?sos %autados2 +. determinar los acti&os rele&antes %ara la rgani*acin9 su interrelacin ysu &alor9 en el sen?tido de )u( %er>uicio coste$ su%ondra su degradacin ;. determinar a )u(amena*as estn eK%uestos a)uellos acti&os 3. determinar )u( sal&aguardas Day dis%uestas ycun eficaces son frente al riesgo @. estimar el im%acto9 definido como el dao sobre el acti&oderi&ado de la materiali*acin de la amena*a 7. estimar el riesgo9 definido como el im%acto%onderado con la tasa de ocurrencia o eK%ecta?ti&a de materiali*acin$ de la amena*a

    3.1.2. Paso 2: Amea!as

    El siguiente %aso consiste en determinar las amena*as )ue %ueden afectar a cada acti&o. as

    amena*as son cosas )ue ocurrenB. 9 de todo lo )ue %uede ocurrir9 interesa lo )ue %uede %asarle a

    nuestros acti&os y causar un dao.

    Identificacin de las amenazas

    El ca%tulo 7 del Q#atlogo de ElementosQ %resenta una relacin de amena*as t%icas.

    De o"#$e a%&"a' terremotos9 inundaciones9Retc$ De' e%o"o ()e o"#$e #)&s%"#a'* contaminacin9 fallos el(ctricos9 ...$ De+e,%os )e 'as a'#,a,#oes Ca&sa)as o" 'as e"soas )e +o"ma a,,#)e%a' Ca&sa)as o" 'as e"soas )e +o"ma )e'#e"a)a

    Valoracin de las amenazas

    Hay )ue &alorar su influencia en el &alor del acti&o9 en dos sentidos2

    )e$"a)a,#/: cun %er>udicado resultara el 4&alor del8 acti&o "oa#'#)a): cun %robable o im%robable es )ue se materialice la amena*a

    3.1.3. De%e"m#a,#/ )e' #ma,%o o%e,#a'

  • 7/24/2019 Resumen Magerit v3 Libro1 Mtodo Es NIPO

    7/58

    Magerit 3.0 Proyectos de anlisis de riesgos

    Ministerio de Hacienda y Administraciones Pblicas

    5e denomina im%acto a la medida del dao sobre el acti&o deri&ado de la materiali*acin de una

    amena*a. #onociendo el &alor de los acti&os en &arias dimensiones$ y la degradacin )ue causan

    las amena*as9 es directo deri&ar el im%acto )ue estas tendran sobre el sistema.

    Impacto acumulado

    Es el calculado sobre un acti&o teniendo en cuenta2

    5u &alor acumulado el %ro%io mas el acumulado de los acti&os )ue de%enden de (l$ as amena*as a )ue est eK%uesto

    El im%acto acumulado9 al calcularse sobre los acti&os )ue so%ortan el %eso del sistema de

    informacin9 %ermite determinar las sal&aguardas de )ue Day )ue dotar a los medios de traba>o2 %ro?

    teccin de los e)ui%os9 co%ias de res%aldo9 etc.

    Impacto repercutido

    Es el calculado sobre un acti&o teniendo en cuenta su &alor %ro%io las amena*as a )ue estn eK%uestos los acti&os de los )ue de%ende

    El im%acto re%ercutido se calcula %ara cada acti&o9 %or cada amena*a y en cada dimensin de

    &aloracin9 siendo una funcin del &alor %ro%io y de la degradacin causada.

    Agregacin de valores de impacto

    Estos im%actos singulares %ueden agregarse ba>o ciertas condiciones2

    Puede agregarse el im%acto re%ercutido sobre diferentes acti&os9

    %uede agregarse el im%acto acumulado sobre acti&os )ue no sean de%endientes entre s9 y no

    Dereden &alor de un acti&o su%erior comn9

    no debe agregarse el im%acto acumulado sobre acti&os )ue no sean inde%endientes9 %ues

    ello su%ondra sobre %onderar el im%acto al incluir &arias &eces el &alor acumulado de acti?&os

    su%eriores9

    %uede agregarse el im%acto de diferentes amena*as sobre un mismo acti&o9 aun)ue con?

    &iene considerar en )u( medida las diferentes amena*as son inde%endientes y %ueden ser

    concurrentes9 %uede agregarse el im%acto de una amena*a en diferentes dimensiones.

  • 7/24/2019 Resumen Magerit v3 Libro1 Mtodo Es NIPO

    8/58

    Magerit 3.0 Proyectos de anlisis de riesgos

    Ministerio de Hacienda y Administraciones Pblicas

    3.1.0. De%e"m#a,#/ )e' "#es$o o%e,#a'

    5e denomina riesgo a la medida del dao %robable sobre un sistema. #onociendo el im%acto de las

    amena*as sobre los acti&os9 es directo deri&ar el r