SlideShare uma empresa Scribd logo

AI03 Analis y gestion de riesgos

Pedro Garcia Repetto
Pedro Garcia Repetto

FACULTAD DE INFORMATICA UNIVERSIDAD COMPLUTENSE DE MADRID INGENIERIA INFORMATICA AUDITORIA INFORMATICA Auditoria Informatica - Tema AI03 Analis y gestion de riesgos

Tecnologia
1 de 83
AI03 AGR AI03 1 Análisis y Gestión de Riesgos TI Mª Carmen Molina Prego Pedro Luis García Repetto Auditoría Informática Grado Ingeniería Informática DACYA – FDI – UCM
AI03 AGR AI03 2 Índice 1. Introducción 2. Magerit 3. PILAR 4. BICINET 5. Bibliografía
AI03 AGR AI03 3 1 Introducción I ISO/IEC 38500 Gobierno corporativo de las TI Las decisiones de gobierno se fundamentan en el conocimiento de los riesgos. GRC: Marco equilibrado de Gobierno, gestión del Riesgo y Cumplimiento Gobernanza trata todos los riesgos, incluidos los TIC, de una forma integral. Confianza: 1. f. Esperanza firme que se tiene de alguien o algo. (www.rae.es)
AI03 AGR AI03 4 1 Introducción II Conocer los riesgos para poder afrontarlos y controlarlos. Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización Análisis de riesgos: proceso sistemático para evaluar la magnitud del riesgo a que está expuesta la organización Tratamiento o gestión de los riesgos: proceso destinado a modificar el riesgo Ausencia de incidentes Confianza en que los incidentes están bajo control
AI03 AGR AI03 5 1 Introducción III MAR •Método de Análisis de Riesgos PGR •Proceso de Gestión de Riesgos PAR •Proyecto de Análisis de Riesgos PS •Plan de Seguridad
AI03 AGR AI03 6 Índice 1. Introducción 2. Magerit 3. PILAR 4. BICINET 5. Bibliografía
AI03 AGR AI03 7 2 MAGERIT 2.1 MAR Método de Análisis de Riesgos 2.2 PGR Proceso de Gestión de Riesgos 2.3 PAR Proyecto de Análisis de Riesgos
AI03 AGR AI03 8 2.1 MAGERIT- Método de Análisis de Riesgos Análisis de riesgos: aproximación metódica para determinar el riesgo 1 Activos y su valor 2 Amenazas sobre activos 3 Salvaguardas 4 Impacto residual 5 Riesgo residual Riesgo e impacto potencial
AI03 AGR AI03 9 2.1 MAGERIT- Método de Análisis de Riesgos Análisis de riesgos potenciales 1 2
AI03 AGR AI03 10 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Activos
AI03 AGR AI03 11 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Dependencias entre Activos Grafos de dependencias: la seguridad de los activos superiores depende de la seguridad de los inferiores Dependencia: incidente de seguridad en un activo afecta a los activos superiores Amenaza: Materialización en un activo afecta a los activos superiores Activos se estructuran en capas donde las superiores dependen de las inferiores
AI03 AGR AI03 12 2.1 MAGERIT- Método de Análisis de Riesgos Imagen – Reputación - Brand
AI03 AGR AI03 13 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Dimensiones de los activos Servicios Finales Internos Externos Dimensiones Confidencialidad Datos Integridad Datos Disponibilidad Servicios Dimensiones Autenticidad Servicios-datos Trazabilidad Uso del servicio Trazabilidad Acceso datos
AI03 AGR AI03 14 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Valor de los activos ¿Por qué nos interesa un activo? Por lo que vale Valor propio Valor acumulado: se acumula hacia abajo en el árbol de dependencias de activos € €€€€€€ €€ €€€ €€€€ €€€€€
AI03 AGR AI03 15 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Valor de los activos Valoración económica: €/$ MA Muy alto A Alto M Medio B Bajo MB Muy bajo 10 Extremo Daño extra grave 9 Muy Alto Daño muy grave 6-8 Alto Daño grave 3-5 Medio Daño importante 1-2 Bajo Daño menor 0 Desprec. Irrelevante Valoración cualitativa Valoración cuantitativa
AI03 AGR AI03 16 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Valor del activo servicio Coste de la (interrupción de la) disponibilidad
AI03 AGR AI03 17 2.1 MAGERIT- Método de Análisis de Riesgos Paso 2: Amenazas Amenaza: Causa potencial de un incidente que puede causar daños a un SI o a organiz. (UNE 71504:2008) Amenaza: “cosas que ocurren” y afectan los a activos
AI03 AGR AI03 18 2.1 MAGERIT- Método de Análisis de Riesgos Paso 2: Valoración de Amenazas Probabilidad: cuán probable o improbable es que se materialice la amenaza Degradación: cuán perjudicado resultaría (el valor) del activo si se materializa una amenaza
AI03 AGR AI03 19 2.1 MAGERIT- Método de Análisis de Riesgos Paso 2: Valoración de Amenazas - Impacto
AI03 AGR AI03 20 2.1 MAGERIT- Método de Análisis de Riesgos Impacto potencial Impacto potencial: medida del daño sobre el activo derivado de la materialización de una amenaza Impacto acumulado: valor acumulado y sus amenazas Impacto repercutido: valor propio y amenazas de todos los activos de los que depende € €€ Amenaza € Amenaza€
AI03 AGR AI03 21 2.1 MAGERIT- Método de Análisis de Riesgos Paso 2: Valoración de Amenazas - Riesgo
AI03 AGR AI03 22 2.1 MAGERIT- Método de Análisis de Riesgos Riesgo potencial Riesgo: Probabilidad de que una amenaza se materialice en un activo provocando un impacto Riesgo potencial: medida del daño probable sobre un activo Riesgo acumulado: impacto acumulado y Prob ( amenaza) Riesgo repercutido: impacto repercutido y Prob (amenazas) € €€ Amenaza € Impacto acumulado Impacto repercutido € Amenaza
AI03 AGR AI03 23 2.1 MAGERIT- Método de Análisis de Riesgos Salvaguarda o contramedida o control: procedimientos o mecanismos tecnológicos que reducen el riesgo Paso 3: Salvaguardas Seleccionar salvaguardaTipo de activo Dimensión a proteger Amenazas ¿Existen salvaguardas?
AI03 AGR AI03 24 2.1 MAGERIT- Método de Análisis de Riesgos Seleccionar salvaguarda: principio de proporcionalidad Declaración de aplicabilidad (SOA): aplica o no aplica Si no aplica: se justifica por qué no aplica Paso 3: Salvaguardas Proporcio- nalidad Valor propio del activo Valor acumulado del activo Probabilidad de que ocurra una amenaza Riesgo cubierto por salvaguardas existentes
AI03 AGR AI03 25 2.1 MAGERIT- Método de Análisis de Riesgos Paso 3: Efecto de las salvaguardas – Riesgo residual
AI03 AGR AI03 26 2.1 MAGERIT- Método de Análisis de Riesgos Paso 3: Tipos de salvaguardas
AI03 AGR AI03 27 2.1 MAGERIT- Método de Análisis de Riesgos Paso 3: Eficacia y madurez de las salvaguardas
AI03 AGR AI03 28 2.1 MAGERIT- Método de Análisis de Riesgos Vulnerabilidad: debilidad de los activos o de sus salvaguardas que facilitan el éxito de una amenaza potencial. Vulnerabilidad: ausencia, ineficacia o funcionamiento parcial de una salvaguarda. Insuficiencia: la eficacia medida de una salvaguarda es insuficiente para proteger el valor de un activo expuesto a una amenaza. Paso 3: Salvaguardas
AI03 AGR AI03 29 2.1 MAGERIT- Método de Análisis de Riesgos Con la implantación de la salvaguarda: 1. Se ha reducido el impacto desde un valor potencial a un valor residual 2. El activo, su valor y sus dependencias no han cambiado 3. Se ha reducido la magnitud de la degradación Impacto residual 1. Acumulado sobre los activos inferiores 2. Repercutido sobre los activos superiores Paso 4: Impacto residual
AI03 AGR AI03 30 2.1 MAGERIT- Método de Análisis de Riesgos Con la implantación de la salvaguarda: 1. Se ha reducido el riesgo desde un valor potencial a un valor residual 2. El activo, su valor y sus dependencias no han cambiado 3. Se ha reducido la magnitud de la probabilidad Riesgo residual 1. Acumulado sobre los activos inferiores 2. Repercutido sobre los activos superiores Paso 5: Riesgo residual
AI03 AGR AI03 31 2.1 MAGERIT- Método de Análisis de Riesgos MAR – Método de Análisis de Riesgos Modelo de valor Mapa de riesgos SOA Eval. salvaguardas Insuficiencias Estado del riesgo
AI03 AGR AI03 32 2 MAGERIT 2.1 Método de Análisis de Riesgos 2.2 Proceso de Gestión de Riesgos 2.3 Proyecto de Análisis de Riesgos
AI03 AGR AI03 33 2.2 MAGERIT- Proceso de Gestión de Riesgos Calificar cada riesgo residual según si es: 1. Crítico: requiere atención urgente 2. Grave: requiere atención 3. Apreciable: se puede estudiar para su tratamiento 4. Asumible: no se toman acciones para atajarlo 1. Riesgo asumible 2. Impacto residual es asumible 3. Riesgo residual es asumible Coste de la salvaguarda es desproporcionado frente 1. Al valor del activo a proteger 2. Al impacto y riesgo residual
AI03 AGR AI03 34 2.2 MAGERIT- Proceso de Gestión de Riesgos Decisiones de tratamiento de riesgos
AI03 AGR AI03 35 2.2 MAGERIT- Proceso de Gestión de Riesgos Se tratan los riesgos: zonas de riesgos Zona 1: Gestionar Zona 2: Gestionar y monitorizar Zona 3: Obviar Zona 4: Reacción y recuperación
AI03 AGR AI03 36 2.2 MAGERIT- Proceso de Gestión de Riesgos Opciones en el tratamiento de los riesgos Eliminar la fuente del riesgos: No para información y servicios. Ej. Cambio SO, cambio arquitectura, etc. Mitigación del riesgo: Reducir la degradación o probabilidad con nuevas salvaguardas Compartir o transferir el riesgo: seguros o contratación Financiación: fondos de contingencia
AI03 AGR AI03 37 2.2 MAGERIT- Proceso de Gestión de Riesgos Análisis de Riesgos PLAN ACT CHECK DO
AI03 AGR AI03 38 2.2 MAGERIT- Proceso de Gestión de Riesgos Matriz RACI - ENS
AI03 AGR AI03 39 2 MAGERIT 2.1 Método de Análisis de Riesgos 2.2 Proceso de Gestión de Riesgos 2.3 Proyecto de Análisis de Riesgos
AI03 AGR AI03 40 2.3 MAGERIT- Proyecto de Análisis de Riesgos Roles y funciones Comité de seguimiento: RSERV, RINFO, RSIS y RSEG Equipo de proyecto: RSIS y RSEG Director del Proyecto: directivo alto nivel Interlocutores: TI y gestión Enlace operacional: entre equipo de proyecto y gestión PAR – Proyecto de Análisis de Riesgos
AI03 AGR AI03 41 Índice 1. Introducción 2. Magerit 3.PILAR 4. BICINET 5. Bibliografía
AI03 AGR AI03 42 3 PILAR Descargar en www.ccn-cert.es e instalar PILAR BASIC 5.2.3 – Modo trabajo–Lic. Temp. 30 días Disponible Windows, unix, mac Disponible es, en, ens Análisis cualitativo Guía de Seguridad de las TIC (CCN-STIC-470D) Manual de Usuario PILAR versión 5.1 Ejemplos (*.mgr) En la herramienta: Unidad administrativa biblioteca En CCN-CERT: Análisis de riesgos Continuidad de operaciones
AI03 AGR AI03 43 3 PILAR Ejemplo AR MAGERIT versión 2 Libro I – El Método Anexo 7. Caso Práctico PILAR: ejemplo_ens_mgr Nivel: básico
AI03 AGR AI03 44 3 PILAR Enunciado I - Introducción Administración electrónica Pequeña ciudad en la que se prestan servicios administrativos a los administrados: Presencial (ventanilla) Desplazándose a los locales del ayuntamiento Servicio www En Internet, en casa o fuera de la ciudad Los avisos se reciben por e-mail El sistema de información maneja expedientes administrativos
AI03 AGR AI03 45 3 PILAR Enunciado II – Servicios internos Los expedientes se almacenan localmente mientras están abiertos Hay una VPN a la capital de la provincia Los expedientes se descargan cuando se requieren Los expedientes se remiten a la capital cuando se cierran La disponibilidad a largo plazo la proporcionan en la capital
AI03 AGR AI03 46 3 PILAR Enunciado III – Servicios internos La mensajería electrónica se usa asiduamente: Coordinación interna Anuncios a los administrados Los mensajes se guardan en el servidor central No hay mensajes almacenados en los PC Enunciado III – Servicios externos Gestión de expedientes por internet Gestión de expedientes de manera presencial
AI03 AGR AI03 47 3 PILAR Enunciado IV – Equipamiento oficinas
AI03 AGR AI03 48 3 PILAR Enunciado IV – Software instalado
AI03 AGR AI03 49 3 PILAR Proyecto AR con PILAR D-Proyecto A-Análisis de riesgos T-Tratamiento (gestión) de riesgos R-Informes E-Perfiles de seguridad
AI03 AGR AI03 50 3 PILAR Proyecto AR con PILAR (D) Definir el proyecto (D.1) Datos del proyecto (D.2) Dominios de seguridad: agrupación de activos por ej. una sede, dependencia, delegación o CPD. Usar: Dominio Base para la oficina local
AI03 AGR AI03 51 3 PILAR Proyecto AR con PILAR - A-Análisis de riesgos A.1-Activos A.1-Identificación activos A.2-Clases de activos A.3-Dependencias entre activos A.4-Valoración de activos en ACIDT A.2- Amenazas A.3-Impacto y riesgo
AI03 AGR AI03 52 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - (A.1) Activos (A.1.1) Identificación: Capa estándar de activos: [B] Capa de negocio [IS] Servicios internos [E] Equipamiento [SW] Aplicaciones [HW] Equipos [COM] Comunicaciones [AUX] Elementos auxiliares [SS] Servicios subcontratados [L] Instalaciones [P] Personal
AI03 AGR AI03 53 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - (A.1) Activos (A.1.1) Identificación (A.1.2) Clases de activos: propiedades de los activos según las clases a las que pertenezcan. Activo “Expedientes” Clase esencial - información Clase datos/información adm: datos de interés Per.M: datos carácter personal, nivel medio Activo “Tramitación de expedientes” Clase aplicaciones software Sub: Desarrollo a medida
AI03 AGR AI03 54 3 PILAR Proyecto AR con PILAR (A)Análisis riesgos - (A.2) Clases Activos - Servidor Clase datos/información conf: datos de configuración log: registro de actividad Clase aplicaciones/estándar www: servidor de presentación App: servidor de aplicaciones Email: servidor de correo electrónico File: servidor de ficheros Av: antivirus Clase aplicaciones/sistema operativo Os: windows
AI03 AGR AI03 55 3 PILAR Proyecto AR con PILAR (A)Análisis riesgos - (A.2) Clases Activos - Servidor …./… Clase aplicaciones/sistema operativo Os: windows Clase equipamiento informático Mid: equipos medios Data: almacena datos Clase soportes de información/electrónicos Disc: discos Activo “Sala de equipos” Clase Instalaciones Local: cuarto
AI03 AGR AI03 56 3 PILAR Proyecto AR con PILAR (A.1) Activos (A.1.3) Dependencias
AI03 AGR AI03 57 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - (A.1) Activos (A.1.1) Identificación (A.1.2) Clases de activos (A.1.3) Dependencias (A.1.3) Valoración activos Se valoran los activos de la capa de negocio (información y servicios) en las dimensiones A-CID-T: Información: A, C, I y T Servicios: A , D y T Valoración cualitativa: Alta, Media o Baja Sub escalas: A+,A,A- M+,M,M+ B+,B,B- Visualizar: valor propio o acumulado (descendente)
AI03 AGR AI03 58 3 PILAR Proyecto AR con PILAR - A-Análisis de riesgos A.1-Activos A.2-Amenazas A.2.1 Vulnerabilidades A.2.2 Identificación A.2.3 Valoración A.3-Impacto y riesgo Cambio de ejemplo Proyecto PILAR: ejemplo_ens.mgr
AI03 AGR AI03 59 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - A.2 Amenazas - A.2.1 Vulnerabilidades Criterios: entorno donde se encuentra los activos Vulnerabilidades se implementan mediante criterios que se asignan a los dominios (Ej. Dominio base): Identificación atacante – Público en general Identificación atacante – Personal interno Motivación atacante – Competidor comercial Motivación personal interno – Sobrecarga de trabajo Conectividad del SI – Conectado a internet Ubicación SI – zona segura (en casa)
AI03 AGR AI03 60 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - A.2 Amenazas - A.2.2 Identificación Gestión automática de amenazas sobre cada activo según los criterios asignados al dominio del activo. Ejemplos:
AI03 AGR AI03 61 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - A.2 Amenazas - A.2.3 Valoración Las amenazas se valoran en dos dimensiones (Gestión automática):  Frecuencia de materialización. Por defecto por niveles: B-M-A-MA  Impacto: pérdida de valor del activo en cada dimensión A-CID-T.
AI03 AGR AI03 62 3 PILAR Proyecto AR con PILAR - A-Análisis de riesgos A.1-Activos A.2-Amenazas A.3-Impacto y riesgo A.3.1 Impacto A.3.2 Riesgo Muestra por A-CID-T los impactos y riesgos potenciales que sufrirían los activos si no se aplican salvaguardas
AI03 AGR AI03 63 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - A.3 Impacto - A.3.1 Impacto  Impacto acumulado de amenazas sobre activos en A-CID-T  Impacto propio e impacto de activos hijos de los que depende  Valor acumulado del activo x Degradación por la amenaza  Impacto máximo es el valor del activo
AI03 AGR AI03 64 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - A.3 Impacto - A.3.2 Riesgo Riesgo de la materialización de las amenazas en los activos Riesgo = impacto * materialización de la amenaza En la dimensión C hay un riesgo 5 (crítico) de que se materialice la amenaza Acceso no autorizado en el activo Expedientes
AI03 AGR AI03 65 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.1 Fases del proyecto T.2 Salvaguardas T.2.1 Identificación T.22. Valoración T.3 Impacto y riesgo residual T.3.1 Impacto T.3.2 Riesgo  Situación actual  Plan urgente a 3 meses  Plan de seguridad a 1 año  Objetivo a largo plazo
AI03 AGR AI03 66 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.2.1 Salvaguardas – T.2.2 Identificación
AI03 AGR AI03 67 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.2.1 Salvaguardas – T.2.Valoración
AI03 AGR AI03 68 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.3 I/R residual – T.3.1 Impacto residual Por fases del proyecto: potencial (sin salvaguardas= A.3.1 impacto), actual, 3 meses, 1 año, objetivo final Impacto residual va decreciendo según aumenta el nivel de madurez de las salvaguardas aplicadas
AI03 AGR AI03 69 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.3 I/R residual – T.3.1 Impacto residual
AI03 AGR AI03 70 3 PILAR
AI03 AGR AI03 71 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.3 I/R residual – T.3.2 Riesgo residual Por fases del proyecto: potencial (sin salvaguardas= A.3.2 riesgo), actual, 3 meses, 1 año, objetivo final Riesgo residual va decreciendo según aumenta el nivel de madurez de las salvaguardas aplicadas
AI03 AGR AI03 72 3 PILAR Proyecto AR con PILAR - I- Informes Texto: Modelo de valor, amenazas, salvaguardas, análisis de impacto, estado del riesgo y perfil de seguridad Gráficos: Valor activos, salvaguardas, impacto y riesgo Proyecto AR con PILAR - E- Perfiles de seguridad  UNE-ISO/IEC 27002:2009  RD 1720 Protección de datos de carácter personal  SP800-53 Controles de seguridad NIST
AI03 AGR AI03 73 3 PILAR Otros ejemplos Ejemplo_ens: en PILAR BICINET TRABAJOS EN GRUPO Definir una organización/empresa/negocio sencillo con un único dominio y una sola capa Con servicios internos (Correo, nóminas y pedidos) Red LAN para usuarios Cortafuegos y conexión ADSL a internet Servidor WEB/Aplicación/BD Realizar AR y obtener informes principales
AI03 AGR AI03 74 Índice 1. Introducción 2. Magerit 3. PILAR 4.BICINET 5. Bibliografía
AI03 AGR AI03 75 4 BICINET Venta bicis presencial e internet Misión: comercio sostenible de bicicletas Valores: ética y responsabilidad social Sede: única en Cabárceno (Cantabria) Oficinas personal para venta presencial y por internet Sala con equipamiento informático Servicio externos  Venta presencial  Venta por internet  Red social pública Servicio internos  Gestión y promoción del personal  Red social privada Otros servicios Internet, correo y almacenamiento nube, contingencia
AI03 AGR AI03 76 4 BICINET Infraestructura Red área local, PC, servidor, cortafuegos, ADSL Locales Oficina y sala en edificio compartido con seguridad de la comunidad. Sala en ambiente oficina sin medidas especiales Aplicaciones Desarrollo propio con software libre Acceso NIF/Contraseña sin políticas especiales salvaguardas: esporádicas en el propio servidor Personal 4 vendedores, 1 administrativo, 1 TIC, 1 gerente
AI03 AGR AI03 77 4 BICINET Activos y dependencias A.1.[1-3] Depende de D_BICIS D_ADMIN S_PRESENCIA L S_REMOTO S_ADMIN APLIC_BICIS APLIC_ADMI N PC LAN SERVIDOR ADSL OFICINA SALA PERSVENTA PERTIC GERENTE D_BICIS D D I I I I I I I D D_ADMIN D I I I I I I D S_PRESENCIAL D D D D I I D S_REMOTO D D D D D D I D S_ADMIN D D D D I I D APLIC_BICIS D APLIC_ADMIN D PC D D I D LAN D D D SERVIDOR D D ADSL D D OFICINA D SALA D PERS VENTA PER TIC GERENTE D: Dependencia directa I: Dependencia indirecta
AI03 AGR AI03 78 4 BICINET Activos y dependencias A.1.[1-3]
AI03 AGR AI03 79 4 BICINET Valoración de activos – A.1.4 Sólo activos esenciales: Información y servicios En las 5+1 dimensiones: A – CID – T_Info - T_Serv Resto activos: valor acumulado por sumatorio descendente de valor. Valor cualitativo Autenticidad Confidencialidad Integridad Disponibilidad TrazaServicio TrazaDatos INFO_BICIS 8 8 9 8 INFO_ADMIN 4 4 5 4 S_PRESENCIAL 6 5 6 S_REMOTO 8 9 8 S_ADMIN 4 3 4
AI03 AGR AI03 80 4 BICINET Amenazas - Aplicar criterios – A.2.1
AI03 AGR AI03 81 4 BICINET Amenazas – Identificación – A.2.2 Editar – Opciones – Amenazas - Automático Amenazas – Valoración – A.2.3 Editar – Opciones – Amenazas - Automático Impacto y riesgo – A.3 Tratamiento de los riesgos T.[1-3] T.1 Fases del Proyecto T.2 Salvaguardas T.3 Impacto y riesgo residual
AI03 AGR AI03 82 4 Bibliografía administracionelectronica.gob.es www.ccn.cni.es Otras metodologías o estándares de AGR CRAMM CCTA Risk Analysis and Management Method ISO/IEC 27005 Information Security Risk Management NIST 800-30 Risk Management Guide for ITS NIST 800-37 Guide for Applying the Risk Managamente Framework to Federal ITS NIST 800-39 Managing Information Security Risk OCTAVE Managing IS Risk – SEI Carnegie Mellon ISACA RISK IT Gestión de Riesgos en TI UNE 71504 Análisis y gestión de riesgos para los SI
AI03 AGR AI03 83 Dudas, preguntas y reflexiones MUCHAS GRACIAS ?

Recomendados

NIST 800-30 Intro to Conducting Risk Assessments - Part 1
NIST 800-30 Intro to Conducting Risk Assessments - Part 1NIST 800-30 Intro to Conducting Risk Assessments - Part 1
NIST 800-30 Intro to Conducting Risk Assessments - Part 1Denise Tawwab
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit MetodologiaAndres Soto Suarez
 
Metodos para la evaluación de riesgos
Metodos para la evaluación de riesgosMetodos para la evaluación de riesgos
Metodos para la evaluación de riesgosMARIAJOSEQUIROZCORON
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Metodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, MageritMetodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, MageritAndrea Lorena Dávila Gómez
 
Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo oceanicacumplimiento
 
Global Cyber Threat Intelligence
Global Cyber Threat IntelligenceGlobal Cyber Threat Intelligence
Global Cyber Threat IntelligenceNTT Innovation Institute Inc.
 

Recomendados

NIST 800-30 Intro to Conducting Risk Assessments - Part 1
NIST 800-30 Intro to Conducting Risk Assessments - Part 1NIST 800-30 Intro to Conducting Risk Assessments - Part 1
NIST 800-30 Intro to Conducting Risk Assessments - Part 1Denise Tawwab
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit MetodologiaAndres Soto Suarez
 
Metodos para la evaluación de riesgos
Metodos para la evaluación de riesgosMetodos para la evaluación de riesgos
Metodos para la evaluación de riesgosMARIAJOSEQUIROZCORON
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Metodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, MageritMetodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, MageritAndrea Lorena Dávila Gómez
 
Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo oceanicacumplimiento
 
Global Cyber Threat Intelligence
Global Cyber Threat IntelligenceGlobal Cyber Threat Intelligence
Global Cyber Threat IntelligenceNTT Innovation Institute Inc.
 
Risk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware AttacksRisk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware AttacksMarco Morana
 
Definición de Seguridad Patrimonial
Definición de Seguridad Patrimonial Definición de Seguridad Patrimonial
Definición de Seguridad Patrimonial Carlos Enrique Pajuelo Rojas
 
Risk assessment managment and risk based audit approach
Risk assessment managment and risk based audit approachRisk assessment managment and risk based audit approach
Risk assessment managment and risk based audit approachn|u - The Open Security Community
 
Session 07_Risk Assessment Program for YSP_Risk Evaluation
Session 07_Risk Assessment Program for YSP_Risk EvaluationSession 07_Risk Assessment Program for YSP_Risk Evaluation
Session 07_Risk Assessment Program for YSP_Risk EvaluationMuizz Anibire
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Risk management
Risk managementRisk management
Risk managementMichael Alonzo
 
Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Donald E. Hester
 
Information Serurity Risk Assessment Basics
Information Serurity Risk Assessment BasicsInformation Serurity Risk Assessment Basics
Information Serurity Risk Assessment BasicsVidyalankar Institute of Technology
 
Introduction to Open FAIR
Introduction to Open FAIRIntroduction to Open FAIR
Introduction to Open FAIR"Apolonio \"Apps\"" Garcia
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Dressing up the ICS Kill Chain
Dressing up the ICS Kill ChainDressing up the ICS Kill Chain
Dressing up the ICS Kill ChainDragos, Inc.
 
Temas de seg control de perdidas
Temas de seg control de perdidasTemas de seg control de perdidas
Temas de seg control de perdidasMauricio Mendez
 
How To Present Cyber Security To Senior Management Complete Deck
How To Present Cyber Security To Senior Management Complete DeckHow To Present Cyber Security To Senior Management Complete Deck
How To Present Cyber Security To Senior Management Complete DeckSlideTeam
 
Controles iso27002 2013
Controles iso27002 2013Controles iso27002 2013
Controles iso27002 2013lederzon
 
Presentación analisis de vulnerabilidad
Presentación analisis de vulnerabilidadPresentación analisis de vulnerabilidad
Presentación analisis de vulnerabilidadOscar López Comunicaciones - OL.COM
 
Risk Assessments
Risk AssessmentsRisk Assessments
Risk AssessmentsJoAnna Cheshire
 
Actividad 3 metodos de evaluacion integral de riesgos
Actividad 3 metodos de evaluacion integral de riesgosActividad 3 metodos de evaluacion integral de riesgos
Actividad 3 metodos de evaluacion integral de riesgosJaquelnHuertasRodrgu
 
Risk Overview & Risk management
Risk Overview & Risk managementRisk Overview & Risk management
Risk Overview & Risk managementSubhendu Datta
 
Taller gestion de riesgos
Taller gestion de riesgosTaller gestion de riesgos
Taller gestion de riesgosMaurice Frayssinet
 
NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101 NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101 Erick Kish, U.S. Commercial Service
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Ciro Bonilla
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 

Mais conteúdo relacionado

Mais procurados

Risk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware AttacksRisk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware AttacksMarco Morana
 
Session 07_Risk Assessment Program for YSP_Risk Evaluation
Session 07_Risk Assessment Program for YSP_Risk EvaluationSession 07_Risk Assessment Program for YSP_Risk Evaluation
Session 07_Risk Assessment Program for YSP_Risk EvaluationMuizz Anibire
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Maricarmen García de Ureña
 
Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Donald E. Hester
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Dressing up the ICS Kill Chain
Dressing up the ICS Kill ChainDressing up the ICS Kill Chain
Dressing up the ICS Kill ChainDragos, Inc.
 
Temas de seg control de perdidas
Temas de seg control de perdidasTemas de seg control de perdidas
Temas de seg control de perdidasMauricio Mendez
 
How To Present Cyber Security To Senior Management Complete Deck
How To Present Cyber Security To Senior Management Complete DeckHow To Present Cyber Security To Senior Management Complete Deck
How To Present Cyber Security To Senior Management Complete DeckSlideTeam
 
Controles iso27002 2013
Controles iso27002 2013Controles iso27002 2013
Controles iso27002 2013lederzon
 
Actividad 3 metodos de evaluacion integral de riesgos
Actividad 3 metodos de evaluacion integral de riesgosActividad 3 metodos de evaluacion integral de riesgos
Actividad 3 metodos de evaluacion integral de riesgosJaquelnHuertasRodrgu
 
Risk Overview & Risk management
Risk Overview & Risk managementRisk Overview & Risk management
Risk Overview & Risk managementSubhendu Datta
 

Mais procurados (20)

Risk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware AttacksRisk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware Attacks
 
Definición de Seguridad Patrimonial
Definición de Seguridad Patrimonial Definición de Seguridad Patrimonial
Definición de Seguridad Patrimonial
 
Risk assessment managment and risk based audit approach
Risk assessment managment and risk based audit approachRisk assessment managment and risk based audit approach
Risk assessment managment and risk based audit approach
 
Session 07_Risk Assessment Program for YSP_Risk Evaluation
Session 07_Risk Assessment Program for YSP_Risk EvaluationSession 07_Risk Assessment Program for YSP_Risk Evaluation
Session 07_Risk Assessment Program for YSP_Risk Evaluation
 
Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005Gestión de riesgos de seguridad de la información - ISO 27005
Gestión de riesgos de seguridad de la información - ISO 27005
 
Risk management
Risk managementRisk management
Risk management
 
Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)Introduction to NIST’s Risk Management Framework (RMF)
Introduction to NIST’s Risk Management Framework (RMF)
 
Information Serurity Risk Assessment Basics
Information Serurity Risk Assessment BasicsInformation Serurity Risk Assessment Basics
Information Serurity Risk Assessment Basics
 
Introduction to Open FAIR
Introduction to Open FAIRIntroduction to Open FAIR
Introduction to Open FAIR
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
 
Dressing up the ICS Kill Chain
Dressing up the ICS Kill ChainDressing up the ICS Kill Chain
Dressing up the ICS Kill Chain
 
Temas de seg control de perdidas
Temas de seg control de perdidasTemas de seg control de perdidas
Temas de seg control de perdidas
 
How To Present Cyber Security To Senior Management Complete Deck
How To Present Cyber Security To Senior Management Complete DeckHow To Present Cyber Security To Senior Management Complete Deck
How To Present Cyber Security To Senior Management Complete Deck
 
Controles iso27002 2013
Controles iso27002 2013Controles iso27002 2013
Controles iso27002 2013
 
Presentación analisis de vulnerabilidad
Presentación analisis de vulnerabilidadPresentación analisis de vulnerabilidad
Presentación analisis de vulnerabilidad
 
Risk Assessments
Risk AssessmentsRisk Assessments
Risk Assessments
 
Actividad 3 metodos de evaluacion integral de riesgos
Actividad 3 metodos de evaluacion integral de riesgosActividad 3 metodos de evaluacion integral de riesgos
Actividad 3 metodos de evaluacion integral de riesgos
 
Risk Overview & Risk management
Risk Overview & Risk managementRisk Overview & Risk management
Risk Overview & Risk management
 
Taller gestion de riesgos
Taller gestion de riesgosTaller gestion de riesgos
Taller gestion de riesgos
 
NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101 NIST Cybersecurity Framework 101
NIST Cybersecurity Framework 101
 

Destaque

Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Ciro Bonilla
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Pilar analisis de riesgo
Pilar analisis de riesgoPilar analisis de riesgo
Pilar analisis de riesgoHome
 
Eber mata(tesis lista)
Eber mata(tesis lista)Eber mata(tesis lista)
Eber mata(tesis lista)Oswaldo Lugo
 
AI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaAI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaPedro Garcia Repetto
 
Wiki 7 colaborativo gestión del riesgo
Wiki 7 colaborativo gestión del riesgoWiki 7 colaborativo gestión del riesgo
Wiki 7 colaborativo gestión del riesgoJortegadaza
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
Arquitecturas web escalables y de alta disponibilidad en la nube
Arquitecturas web escalables y de alta disponibilidad en la nubeArquitecturas web escalables y de alta disponibilidad en la nube
Arquitecturas web escalables y de alta disponibilidad en la nubeGuillermo Alvarado Mejía
 
Recuperación de la base de datos en Oracle
Recuperación de la base de datos en OracleRecuperación de la base de datos en Oracle
Recuperación de la base de datos en OracleCarmen Soler
 
AI01 Introducción Auditoria Informatica
AI01 Introducción Auditoria InformaticaAI01 Introducción Auditoria Informatica
AI01 Introducción Auditoria InformaticaPedro Garcia Repetto
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAPedro Garcia Repetto
 
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2Jack Daniel Cáceres Meza
 
Aspectos informaticos relevantes ley 1273 de 2009
Aspectos informaticos relevantes ley 1273 de 2009Aspectos informaticos relevantes ley 1273 de 2009
Aspectos informaticos relevantes ley 1273 de 2009german1537
 

Destaque (20)

Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
 
Pilar analisis de riesgo
Pilar analisis de riesgoPilar analisis de riesgo
Pilar analisis de riesgo
 
Eber mata(tesis lista)
Eber mata(tesis lista)Eber mata(tesis lista)
Eber mata(tesis lista)
 
AI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaAI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria Informatica
 
Wiki 7 colaborativo gestión del riesgo
Wiki 7 colaborativo gestión del riesgoWiki 7 colaborativo gestión del riesgo
Wiki 7 colaborativo gestión del riesgo
 
Manual gestion riesgos_2015
Manual gestion riesgos_2015Manual gestion riesgos_2015
Manual gestion riesgos_2015
 
Abd tema0y1
Abd tema0y1Abd tema0y1
Abd tema0y1
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
 
Cobit 5 introduction plgr
Cobit 5 introduction plgrCobit 5 introduction plgr
Cobit 5 introduction plgr
 
Arquitecturas web escalables y de alta disponibilidad en la nube
Arquitecturas web escalables y de alta disponibilidad en la nubeArquitecturas web escalables y de alta disponibilidad en la nube
Arquitecturas web escalables y de alta disponibilidad en la nube
 
Análisis de riesgos informáticos
Análisis de riesgos informáticosAnálisis de riesgos informáticos
Análisis de riesgos informáticos
 
Recuperación de la base de datos en Oracle
Recuperación de la base de datos en OracleRecuperación de la base de datos en Oracle
Recuperación de la base de datos en Oracle
 
AI02 Proceso de auditoría
AI02 Proceso de auditoríaAI02 Proceso de auditoría
AI02 Proceso de auditoría
 
Analisis de riesgo informatico
Analisis de riesgo informaticoAnalisis de riesgo informatico
Analisis de riesgo informatico
 
AI01 Introducción Auditoria Informatica
AI01 Introducción Auditoria InformaticaAI01 Introducción Auditoria Informatica
AI01 Introducción Auditoria Informatica
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACA
 
AI08 Auditoria producto software
AI08 Auditoria producto softwareAI08 Auditoria producto software
AI08 Auditoria producto software
 
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
 
Aspectos informaticos relevantes ley 1273 de 2009
Aspectos informaticos relevantes ley 1273 de 2009Aspectos informaticos relevantes ley 1273 de 2009
Aspectos informaticos relevantes ley 1273 de 2009
 

Semelhante a AI03 Analis y gestion de riesgos

Análisis cuantitativo de riesgos
Análisis cuantitativo de riesgosAnálisis cuantitativo de riesgos
Análisis cuantitativo de riesgoswinder hernandez
 
Cesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar Velez
 
Apraez laura - Actividad 3
Apraez laura - Actividad 3Apraez laura - Actividad 3
Apraez laura - Actividad 3Laura Apráez
 
MÉTODOS PARA LA EVALUACIÓN INTEGRAL DE RIESGOS
MÉTODOS PARA LA EVALUACIÓN INTEGRAL DE RIESGOSMÉTODOS PARA LA EVALUACIÓN INTEGRAL DE RIESGOS
MÉTODOS PARA LA EVALUACIÓN INTEGRAL DE RIESGOSGinnaMarcelaGarcaAma
 
Guia de autodiagnostico seguridad y salud ocupacional
Guia de autodiagnostico seguridad y salud ocupacionalGuia de autodiagnostico seguridad y salud ocupacional
Guia de autodiagnostico seguridad y salud ocupacionalJorge Pio
 
Proyecto Módulo III - Aseguramiento de Red de acuerdo a un Análisis y Evaluac...
Proyecto Módulo III - Aseguramiento de Red de acuerdo a un Análisis y Evaluac...Proyecto Módulo III - Aseguramiento de Red de acuerdo a un Análisis y Evaluac...
Proyecto Módulo III - Aseguramiento de Red de acuerdo a un Análisis y Evaluac...Ruddy Mauricio Candia Rosado
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMICHELCARLOSCUEVASSA
 
- Modulos II - II.pptx
- Modulos II - II.pptx- Modulos II - II.pptx
- Modulos II - II.pptxescarletcortes
 
Panorama de riesgos
Panorama de riesgosPanorama de riesgos
Panorama de riesgosbeautynicxy
 
SISTEMA DE GESTION DE LA SEGURIDAD Y SALUD OCUPACIONAL
SISTEMA DE GESTION DE LA SEGURIDAD Y SALUD OCUPACIONAL SISTEMA DE GESTION DE LA SEGURIDAD Y SALUD OCUPACIONAL
SISTEMA DE GESTION DE LA SEGURIDAD Y SALUD OCUPACIONAL cristhiam2210
 

Semelhante a AI03 Analis y gestion de riesgos (20)

Análisis cuantitativo de riesgos
Análisis cuantitativo de riesgosAnálisis cuantitativo de riesgos
Análisis cuantitativo de riesgos
 
Cesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos magerit
 
Apraez laura - Actividad 3
Apraez laura - Actividad 3Apraez laura - Actividad 3
Apraez laura - Actividad 3
 
MÉTODOS PARA LA EVALUACIÓN INTEGRAL DE RIESGOS
MÉTODOS PARA LA EVALUACIÓN INTEGRAL DE RIESGOSMÉTODOS PARA LA EVALUACIÓN INTEGRAL DE RIESGOS
MÉTODOS PARA LA EVALUACIÓN INTEGRAL DE RIESGOS
 
Guia de autodiagnostico seguridad y salud ocupacional
Guia de autodiagnostico seguridad y salud ocupacionalGuia de autodiagnostico seguridad y salud ocupacional
Guia de autodiagnostico seguridad y salud ocupacional
 
Proyecto Módulo III - Aseguramiento de Red de acuerdo a un Análisis y Evaluac...
Proyecto Módulo III - Aseguramiento de Red de acuerdo a un Análisis y Evaluac...Proyecto Módulo III - Aseguramiento de Red de acuerdo a un Análisis y Evaluac...
Proyecto Módulo III - Aseguramiento de Red de acuerdo a un Análisis y Evaluac...
 
Seguridad y salud taller#2-c2-c
Seguridad y salud taller#2-c2-cSeguridad y salud taller#2-c2-c
Seguridad y salud taller#2-c2-c
 
Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3
 
Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3
 
Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
 
- Modulos II - II.pptx
- Modulos II - II.pptx- Modulos II - II.pptx
- Modulos II - II.pptx
 
Magerit
MageritMagerit
Magerit
 
Panorama de riesgos
Panorama de riesgosPanorama de riesgos
Panorama de riesgos
 
Analisis de riesgos_en_procesos
Analisis de riesgos_en_procesosAnalisis de riesgos_en_procesos
Analisis de riesgos_en_procesos
 
MODULO III (1).pdf
MODULO III (1).pdfMODULO III (1).pdf
MODULO III (1).pdf
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgos
 
Gestión del riesgo conceptos básicos
Gestión del riesgo conceptos básicosGestión del riesgo conceptos básicos
Gestión del riesgo conceptos básicos
 
SISTEMA DE GESTION DE LA SEGURIDAD Y SALUD OCUPACIONAL
SISTEMA DE GESTION DE LA SEGURIDAD Y SALUD OCUPACIONAL SISTEMA DE GESTION DE LA SEGURIDAD Y SALUD OCUPACIONAL
SISTEMA DE GESTION DE LA SEGURIDAD Y SALUD OCUPACIONAL
 
Gestión de Riesgos - Promigas
Gestión de Riesgos - PromigasGestión de Riesgos - Promigas
Gestión de Riesgos - Promigas
 

Último

Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estossgonzalezp1
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfvladimiroflores1
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21mariacbr99
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxAlan779941
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.FlorenciaCattelani
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfAnnimoUno1
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanamcerpam
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxMiguelAtencio10
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...JohnRamos830530
 

Último (11)

Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 

AI03 Analis y gestion de riesgos

  • 1. AI03 AGR AI03 1 Análisis y Gestión de Riesgos TI Mª Carmen Molina Prego Pedro Luis García Repetto Auditoría Informática Grado Ingeniería Informática DACYA – FDI – UCM
  • 2. AI03 AGR AI03 2 Índice 1. Introducción 2. Magerit 3. PILAR 4. BICINET 5. Bibliografía
  • 3. AI03 AGR AI03 3 1 Introducción I ISO/IEC 38500 Gobierno corporativo de las TI Las decisiones de gobierno se fundamentan en el conocimiento de los riesgos. GRC: Marco equilibrado de Gobierno, gestión del Riesgo y Cumplimiento Gobernanza trata todos los riesgos, incluidos los TIC, de una forma integral. Confianza: 1. f. Esperanza firme que se tiene de alguien o algo. (www.rae.es)
  • 4. AI03 AGR AI03 4 1 Introducción II Conocer los riesgos para poder afrontarlos y controlarlos. Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización Análisis de riesgos: proceso sistemático para evaluar la magnitud del riesgo a que está expuesta la organización Tratamiento o gestión de los riesgos: proceso destinado a modificar el riesgo Ausencia de incidentes Confianza en que los incidentes están bajo control
  • 5. AI03 AGR AI03 5 1 Introducción III MAR •Método de Análisis de Riesgos PGR •Proceso de Gestión de Riesgos PAR •Proyecto de Análisis de Riesgos PS •Plan de Seguridad
  • 6. AI03 AGR AI03 6 Índice 1. Introducción 2. Magerit 3. PILAR 4. BICINET 5. Bibliografía
  • 7. AI03 AGR AI03 7 2 MAGERIT 2.1 MAR Método de Análisis de Riesgos 2.2 PGR Proceso de Gestión de Riesgos 2.3 PAR Proyecto de Análisis de Riesgos
  • 8. AI03 AGR AI03 8 2.1 MAGERIT- Método de Análisis de Riesgos Análisis de riesgos: aproximación metódica para determinar el riesgo 1 Activos y su valor 2 Amenazas sobre activos 3 Salvaguardas 4 Impacto residual 5 Riesgo residual Riesgo e impacto potencial
  • 9. AI03 AGR AI03 9 2.1 MAGERIT- Método de Análisis de Riesgos Análisis de riesgos potenciales 1 2
  • 10. AI03 AGR AI03 10 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Activos
  • 11. AI03 AGR AI03 11 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Dependencias entre Activos Grafos de dependencias: la seguridad de los activos superiores depende de la seguridad de los inferiores Dependencia: incidente de seguridad en un activo afecta a los activos superiores Amenaza: Materialización en un activo afecta a los activos superiores Activos se estructuran en capas donde las superiores dependen de las inferiores
  • 12. AI03 AGR AI03 12 2.1 MAGERIT- Método de Análisis de Riesgos Imagen – Reputación - Brand
  • 13. AI03 AGR AI03 13 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Dimensiones de los activos Servicios Finales Internos Externos Dimensiones Confidencialidad Datos Integridad Datos Disponibilidad Servicios Dimensiones Autenticidad Servicios-datos Trazabilidad Uso del servicio Trazabilidad Acceso datos
  • 14. AI03 AGR AI03 14 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Valor de los activos ¿Por qué nos interesa un activo? Por lo que vale Valor propio Valor acumulado: se acumula hacia abajo en el árbol de dependencias de activos € €€€€€€ €€ €€€ €€€€ €€€€€
  • 15. AI03 AGR AI03 15 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Valor de los activos Valoración económica: €/$ MA Muy alto A Alto M Medio B Bajo MB Muy bajo 10 Extremo Daño extra grave 9 Muy Alto Daño muy grave 6-8 Alto Daño grave 3-5 Medio Daño importante 1-2 Bajo Daño menor 0 Desprec. Irrelevante Valoración cualitativa Valoración cuantitativa
  • 16. AI03 AGR AI03 16 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Valor del activo servicio Coste de la (interrupción de la) disponibilidad
  • 17. AI03 AGR AI03 17 2.1 MAGERIT- Método de Análisis de Riesgos Paso 2: Amenazas Amenaza: Causa potencial de un incidente que puede causar daños a un SI o a organiz. (UNE 71504:2008) Amenaza: “cosas que ocurren” y afectan los a activos
  • 18. AI03 AGR AI03 18 2.1 MAGERIT- Método de Análisis de Riesgos Paso 2: Valoración de Amenazas Probabilidad: cuán probable o improbable es que se materialice la amenaza Degradación: cuán perjudicado resultaría (el valor) del activo si se materializa una amenaza
  • 19. AI03 AGR AI03 19 2.1 MAGERIT- Método de Análisis de Riesgos Paso 2: Valoración de Amenazas - Impacto
  • 20. AI03 AGR AI03 20 2.1 MAGERIT- Método de Análisis de Riesgos Impacto potencial Impacto potencial: medida del daño sobre el activo derivado de la materialización de una amenaza Impacto acumulado: valor acumulado y sus amenazas Impacto repercutido: valor propio y amenazas de todos los activos de los que depende € €€ Amenaza € Amenaza€
  • 21. AI03 AGR AI03 21 2.1 MAGERIT- Método de Análisis de Riesgos Paso 2: Valoración de Amenazas - Riesgo
  • 22. AI03 AGR AI03 22 2.1 MAGERIT- Método de Análisis de Riesgos Riesgo potencial Riesgo: Probabilidad de que una amenaza se materialice en un activo provocando un impacto Riesgo potencial: medida del daño probable sobre un activo Riesgo acumulado: impacto acumulado y Prob ( amenaza) Riesgo repercutido: impacto repercutido y Prob (amenazas) € €€ Amenaza € Impacto acumulado Impacto repercutido € Amenaza
  • 23. AI03 AGR AI03 23 2.1 MAGERIT- Método de Análisis de Riesgos Salvaguarda o contramedida o control: procedimientos o mecanismos tecnológicos que reducen el riesgo Paso 3: Salvaguardas Seleccionar salvaguardaTipo de activo Dimensión a proteger Amenazas ¿Existen salvaguardas?
  • 24. AI03 AGR AI03 24 2.1 MAGERIT- Método de Análisis de Riesgos Seleccionar salvaguarda: principio de proporcionalidad Declaración de aplicabilidad (SOA): aplica o no aplica Si no aplica: se justifica por qué no aplica Paso 3: Salvaguardas Proporcio- nalidad Valor propio del activo Valor acumulado del activo Probabilidad de que ocurra una amenaza Riesgo cubierto por salvaguardas existentes
  • 25. AI03 AGR AI03 25 2.1 MAGERIT- Método de Análisis de Riesgos Paso 3: Efecto de las salvaguardas – Riesgo residual
  • 26. AI03 AGR AI03 26 2.1 MAGERIT- Método de Análisis de Riesgos Paso 3: Tipos de salvaguardas
  • 27. AI03 AGR AI03 27 2.1 MAGERIT- Método de Análisis de Riesgos Paso 3: Eficacia y madurez de las salvaguardas
  • 28. AI03 AGR AI03 28 2.1 MAGERIT- Método de Análisis de Riesgos Vulnerabilidad: debilidad de los activos o de sus salvaguardas que facilitan el éxito de una amenaza potencial. Vulnerabilidad: ausencia, ineficacia o funcionamiento parcial de una salvaguarda. Insuficiencia: la eficacia medida de una salvaguarda es insuficiente para proteger el valor de un activo expuesto a una amenaza. Paso 3: Salvaguardas
  • 29. AI03 AGR AI03 29 2.1 MAGERIT- Método de Análisis de Riesgos Con la implantación de la salvaguarda: 1. Se ha reducido el impacto desde un valor potencial a un valor residual 2. El activo, su valor y sus dependencias no han cambiado 3. Se ha reducido la magnitud de la degradación Impacto residual 1. Acumulado sobre los activos inferiores 2. Repercutido sobre los activos superiores Paso 4: Impacto residual
  • 30. AI03 AGR AI03 30 2.1 MAGERIT- Método de Análisis de Riesgos Con la implantación de la salvaguarda: 1. Se ha reducido el riesgo desde un valor potencial a un valor residual 2. El activo, su valor y sus dependencias no han cambiado 3. Se ha reducido la magnitud de la probabilidad Riesgo residual 1. Acumulado sobre los activos inferiores 2. Repercutido sobre los activos superiores Paso 5: Riesgo residual
  • 31. AI03 AGR AI03 31 2.1 MAGERIT- Método de Análisis de Riesgos MAR – Método de Análisis de Riesgos Modelo de valor Mapa de riesgos SOA Eval. salvaguardas Insuficiencias Estado del riesgo
  • 32. AI03 AGR AI03 32 2 MAGERIT 2.1 Método de Análisis de Riesgos 2.2 Proceso de Gestión de Riesgos 2.3 Proyecto de Análisis de Riesgos
  • 33. AI03 AGR AI03 33 2.2 MAGERIT- Proceso de Gestión de Riesgos Calificar cada riesgo residual según si es: 1. Crítico: requiere atención urgente 2. Grave: requiere atención 3. Apreciable: se puede estudiar para su tratamiento 4. Asumible: no se toman acciones para atajarlo 1. Riesgo asumible 2. Impacto residual es asumible 3. Riesgo residual es asumible Coste de la salvaguarda es desproporcionado frente 1. Al valor del activo a proteger 2. Al impacto y riesgo residual
  • 34. AI03 AGR AI03 34 2.2 MAGERIT- Proceso de Gestión de Riesgos Decisiones de tratamiento de riesgos
  • 35. AI03 AGR AI03 35 2.2 MAGERIT- Proceso de Gestión de Riesgos Se tratan los riesgos: zonas de riesgos Zona 1: Gestionar Zona 2: Gestionar y monitorizar Zona 3: Obviar Zona 4: Reacción y recuperación
  • 36. AI03 AGR AI03 36 2.2 MAGERIT- Proceso de Gestión de Riesgos Opciones en el tratamiento de los riesgos Eliminar la fuente del riesgos: No para información y servicios. Ej. Cambio SO, cambio arquitectura, etc. Mitigación del riesgo: Reducir la degradación o probabilidad con nuevas salvaguardas Compartir o transferir el riesgo: seguros o contratación Financiación: fondos de contingencia
  • 37. AI03 AGR AI03 37 2.2 MAGERIT- Proceso de Gestión de Riesgos Análisis de Riesgos PLAN ACT CHECK DO
  • 38. AI03 AGR AI03 38 2.2 MAGERIT- Proceso de Gestión de Riesgos Matriz RACI - ENS
  • 39. AI03 AGR AI03 39 2 MAGERIT 2.1 Método de Análisis de Riesgos 2.2 Proceso de Gestión de Riesgos 2.3 Proyecto de Análisis de Riesgos
  • 40. AI03 AGR AI03 40 2.3 MAGERIT- Proyecto de Análisis de Riesgos Roles y funciones Comité de seguimiento: RSERV, RINFO, RSIS y RSEG Equipo de proyecto: RSIS y RSEG Director del Proyecto: directivo alto nivel Interlocutores: TI y gestión Enlace operacional: entre equipo de proyecto y gestión PAR – Proyecto de Análisis de Riesgos
  • 41. AI03 AGR AI03 41 Índice 1. Introducción 2. Magerit 3.PILAR 4. BICINET 5. Bibliografía
  • 42. AI03 AGR AI03 42 3 PILAR Descargar en www.ccn-cert.es e instalar PILAR BASIC 5.2.3 – Modo trabajo–Lic. Temp. 30 días Disponible Windows, unix, mac Disponible es, en, ens Análisis cualitativo Guía de Seguridad de las TIC (CCN-STIC-470D) Manual de Usuario PILAR versión 5.1 Ejemplos (*.mgr) En la herramienta: Unidad administrativa biblioteca En CCN-CERT: Análisis de riesgos Continuidad de operaciones
  • 43. AI03 AGR AI03 43 3 PILAR Ejemplo AR MAGERIT versión 2 Libro I – El Método Anexo 7. Caso Práctico PILAR: ejemplo_ens_mgr Nivel: básico
  • 44. AI03 AGR AI03 44 3 PILAR Enunciado I - Introducción Administración electrónica Pequeña ciudad en la que se prestan servicios administrativos a los administrados: Presencial (ventanilla) Desplazándose a los locales del ayuntamiento Servicio www En Internet, en casa o fuera de la ciudad Los avisos se reciben por e-mail El sistema de información maneja expedientes administrativos
  • 45. AI03 AGR AI03 45 3 PILAR Enunciado II – Servicios internos Los expedientes se almacenan localmente mientras están abiertos Hay una VPN a la capital de la provincia Los expedientes se descargan cuando se requieren Los expedientes se remiten a la capital cuando se cierran La disponibilidad a largo plazo la proporcionan en la capital
  • 46. AI03 AGR AI03 46 3 PILAR Enunciado III – Servicios internos La mensajería electrónica se usa asiduamente: Coordinación interna Anuncios a los administrados Los mensajes se guardan en el servidor central No hay mensajes almacenados en los PC Enunciado III – Servicios externos Gestión de expedientes por internet Gestión de expedientes de manera presencial
  • 47. AI03 AGR AI03 47 3 PILAR Enunciado IV – Equipamiento oficinas
  • 48. AI03 AGR AI03 48 3 PILAR Enunciado IV – Software instalado
  • 49. AI03 AGR AI03 49 3 PILAR Proyecto AR con PILAR D-Proyecto A-Análisis de riesgos T-Tratamiento (gestión) de riesgos R-Informes E-Perfiles de seguridad
  • 50. AI03 AGR AI03 50 3 PILAR Proyecto AR con PILAR (D) Definir el proyecto (D.1) Datos del proyecto (D.2) Dominios de seguridad: agrupación de activos por ej. una sede, dependencia, delegación o CPD. Usar: Dominio Base para la oficina local
  • 51. AI03 AGR AI03 51 3 PILAR Proyecto AR con PILAR - A-Análisis de riesgos A.1-Activos A.1-Identificación activos A.2-Clases de activos A.3-Dependencias entre activos A.4-Valoración de activos en ACIDT A.2- Amenazas A.3-Impacto y riesgo
  • 52. AI03 AGR AI03 52 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - (A.1) Activos (A.1.1) Identificación: Capa estándar de activos: [B] Capa de negocio [IS] Servicios internos [E] Equipamiento [SW] Aplicaciones [HW] Equipos [COM] Comunicaciones [AUX] Elementos auxiliares [SS] Servicios subcontratados [L] Instalaciones [P] Personal
  • 53. AI03 AGR AI03 53 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - (A.1) Activos (A.1.1) Identificación (A.1.2) Clases de activos: propiedades de los activos según las clases a las que pertenezcan. Activo “Expedientes” Clase esencial - información Clase datos/información adm: datos de interés Per.M: datos carácter personal, nivel medio Activo “Tramitación de expedientes” Clase aplicaciones software Sub: Desarrollo a medida
  • 54. AI03 AGR AI03 54 3 PILAR Proyecto AR con PILAR (A)Análisis riesgos - (A.2) Clases Activos - Servidor Clase datos/información conf: datos de configuración log: registro de actividad Clase aplicaciones/estándar www: servidor de presentación App: servidor de aplicaciones Email: servidor de correo electrónico File: servidor de ficheros Av: antivirus Clase aplicaciones/sistema operativo Os: windows
  • 55. AI03 AGR AI03 55 3 PILAR Proyecto AR con PILAR (A)Análisis riesgos - (A.2) Clases Activos - Servidor …./… Clase aplicaciones/sistema operativo Os: windows Clase equipamiento informático Mid: equipos medios Data: almacena datos Clase soportes de información/electrónicos Disc: discos Activo “Sala de equipos” Clase Instalaciones Local: cuarto
  • 56. AI03 AGR AI03 56 3 PILAR Proyecto AR con PILAR (A.1) Activos (A.1.3) Dependencias
  • 57. AI03 AGR AI03 57 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - (A.1) Activos (A.1.1) Identificación (A.1.2) Clases de activos (A.1.3) Dependencias (A.1.3) Valoración activos Se valoran los activos de la capa de negocio (información y servicios) en las dimensiones A-CID-T: Información: A, C, I y T Servicios: A , D y T Valoración cualitativa: Alta, Media o Baja Sub escalas: A+,A,A- M+,M,M+ B+,B,B- Visualizar: valor propio o acumulado (descendente)
  • 58. AI03 AGR AI03 58 3 PILAR Proyecto AR con PILAR - A-Análisis de riesgos A.1-Activos A.2-Amenazas A.2.1 Vulnerabilidades A.2.2 Identificación A.2.3 Valoración A.3-Impacto y riesgo Cambio de ejemplo Proyecto PILAR: ejemplo_ens.mgr
  • 59. AI03 AGR AI03 59 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - A.2 Amenazas - A.2.1 Vulnerabilidades Criterios: entorno donde se encuentra los activos Vulnerabilidades se implementan mediante criterios que se asignan a los dominios (Ej. Dominio base): Identificación atacante – Público en general Identificación atacante – Personal interno Motivación atacante – Competidor comercial Motivación personal interno – Sobrecarga de trabajo Conectividad del SI – Conectado a internet Ubicación SI – zona segura (en casa)
  • 60. AI03 AGR AI03 60 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - A.2 Amenazas - A.2.2 Identificación Gestión automática de amenazas sobre cada activo según los criterios asignados al dominio del activo. Ejemplos:
  • 61. AI03 AGR AI03 61 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - A.2 Amenazas - A.2.3 Valoración Las amenazas se valoran en dos dimensiones (Gestión automática):  Frecuencia de materialización. Por defecto por niveles: B-M-A-MA  Impacto: pérdida de valor del activo en cada dimensión A-CID-T.
  • 62. AI03 AGR AI03 62 3 PILAR Proyecto AR con PILAR - A-Análisis de riesgos A.1-Activos A.2-Amenazas A.3-Impacto y riesgo A.3.1 Impacto A.3.2 Riesgo Muestra por A-CID-T los impactos y riesgos potenciales que sufrirían los activos si no se aplican salvaguardas
  • 63. AI03 AGR AI03 63 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - A.3 Impacto - A.3.1 Impacto  Impacto acumulado de amenazas sobre activos en A-CID-T  Impacto propio e impacto de activos hijos de los que depende  Valor acumulado del activo x Degradación por la amenaza  Impacto máximo es el valor del activo
  • 64. AI03 AGR AI03 64 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - A.3 Impacto - A.3.2 Riesgo Riesgo de la materialización de las amenazas en los activos Riesgo = impacto * materialización de la amenaza En la dimensión C hay un riesgo 5 (crítico) de que se materialice la amenaza Acceso no autorizado en el activo Expedientes
  • 65. AI03 AGR AI03 65 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.1 Fases del proyecto T.2 Salvaguardas T.2.1 Identificación T.22. Valoración T.3 Impacto y riesgo residual T.3.1 Impacto T.3.2 Riesgo  Situación actual  Plan urgente a 3 meses  Plan de seguridad a 1 año  Objetivo a largo plazo
  • 66. AI03 AGR AI03 66 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.2.1 Salvaguardas – T.2.2 Identificación
  • 67. AI03 AGR AI03 67 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.2.1 Salvaguardas – T.2.Valoración
  • 68. AI03 AGR AI03 68 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.3 I/R residual – T.3.1 Impacto residual Por fases del proyecto: potencial (sin salvaguardas= A.3.1 impacto), actual, 3 meses, 1 año, objetivo final Impacto residual va decreciendo según aumenta el nivel de madurez de las salvaguardas aplicadas
  • 69. AI03 AGR AI03 69 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.3 I/R residual – T.3.1 Impacto residual
  • 71. AI03 AGR AI03 71 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.3 I/R residual – T.3.2 Riesgo residual Por fases del proyecto: potencial (sin salvaguardas= A.3.2 riesgo), actual, 3 meses, 1 año, objetivo final Riesgo residual va decreciendo según aumenta el nivel de madurez de las salvaguardas aplicadas
  • 72. AI03 AGR AI03 72 3 PILAR Proyecto AR con PILAR - I- Informes Texto: Modelo de valor, amenazas, salvaguardas, análisis de impacto, estado del riesgo y perfil de seguridad Gráficos: Valor activos, salvaguardas, impacto y riesgo Proyecto AR con PILAR - E- Perfiles de seguridad  UNE-ISO/IEC 27002:2009  RD 1720 Protección de datos de carácter personal  SP800-53 Controles de seguridad NIST
  • 73. AI03 AGR AI03 73 3 PILAR Otros ejemplos Ejemplo_ens: en PILAR BICINET TRABAJOS EN GRUPO Definir una organización/empresa/negocio sencillo con un único dominio y una sola capa Con servicios internos (Correo, nóminas y pedidos) Red LAN para usuarios Cortafuegos y conexión ADSL a internet Servidor WEB/Aplicación/BD Realizar AR y obtener informes principales
  • 74. AI03 AGR AI03 74 Índice 1. Introducción 2. Magerit 3. PILAR 4.BICINET 5. Bibliografía
  • 75. AI03 AGR AI03 75 4 BICINET Venta bicis presencial e internet Misión: comercio sostenible de bicicletas Valores: ética y responsabilidad social Sede: única en Cabárceno (Cantabria) Oficinas personal para venta presencial y por internet Sala con equipamiento informático Servicio externos  Venta presencial  Venta por internet  Red social pública Servicio internos  Gestión y promoción del personal  Red social privada Otros servicios Internet, correo y almacenamiento nube, contingencia
  • 76. AI03 AGR AI03 76 4 BICINET Infraestructura Red área local, PC, servidor, cortafuegos, ADSL Locales Oficina y sala en edificio compartido con seguridad de la comunidad. Sala en ambiente oficina sin medidas especiales Aplicaciones Desarrollo propio con software libre Acceso NIF/Contraseña sin políticas especiales salvaguardas: esporádicas en el propio servidor Personal 4 vendedores, 1 administrativo, 1 TIC, 1 gerente
  • 77. AI03 AGR AI03 77 4 BICINET Activos y dependencias A.1.[1-3] Depende de D_BICIS D_ADMIN S_PRESENCIA L S_REMOTO S_ADMIN APLIC_BICIS APLIC_ADMI N PC LAN SERVIDOR ADSL OFICINA SALA PERSVENTA PERTIC GERENTE D_BICIS D D I I I I I I I D D_ADMIN D I I I I I I D S_PRESENCIAL D D D D I I D S_REMOTO D D D D D D I D S_ADMIN D D D D I I D APLIC_BICIS D APLIC_ADMIN D PC D D I D LAN D D D SERVIDOR D D ADSL D D OFICINA D SALA D PERS VENTA PER TIC GERENTE D: Dependencia directa I: Dependencia indirecta
  • 78. AI03 AGR AI03 78 4 BICINET Activos y dependencias A.1.[1-3]
  • 79. AI03 AGR AI03 79 4 BICINET Valoración de activos – A.1.4 Sólo activos esenciales: Información y servicios En las 5+1 dimensiones: A – CID – T_Info - T_Serv Resto activos: valor acumulado por sumatorio descendente de valor. Valor cualitativo Autenticidad Confidencialidad Integridad Disponibilidad TrazaServicio TrazaDatos INFO_BICIS 8 8 9 8 INFO_ADMIN 4 4 5 4 S_PRESENCIAL 6 5 6 S_REMOTO 8 9 8 S_ADMIN 4 3 4
  • 80. AI03 AGR AI03 80 4 BICINET Amenazas - Aplicar criterios – A.2.1
  • 81. AI03 AGR AI03 81 4 BICINET Amenazas – Identificación – A.2.2 Editar – Opciones – Amenazas - Automático Amenazas – Valoración – A.2.3 Editar – Opciones – Amenazas - Automático Impacto y riesgo – A.3 Tratamiento de los riesgos T.[1-3] T.1 Fases del Proyecto T.2 Salvaguardas T.3 Impacto y riesgo residual
  • 82. AI03 AGR AI03 82 4 Bibliografía administracionelectronica.gob.es www.ccn.cni.es Otras metodologías o estándares de AGR CRAMM CCTA Risk Analysis and Management Method ISO/IEC 27005 Information Security Risk Management NIST 800-30 Risk Management Guide for ITS NIST 800-37 Guide for Applying the Risk Managamente Framework to Federal ITS NIST 800-39 Managing Information Security Risk OCTAVE Managing IS Risk – SEI Carnegie Mellon ISACA RISK IT Gestión de Riesgos en TI UNE 71504 Análisis y gestión de riesgos para los SI
  • 83. AI03 AGR AI03 83 Dudas, preguntas y reflexiones MUCHAS GRACIAS ?