SlideShare ist ein Scribd-Unternehmen logo

AI03 Analis y gestion de riesgos

Pedro Garcia Repetto
Pedro Garcia Repetto

FACULTAD DE INFORMATICA UNIVERSIDAD COMPLUTENSE DE MADRID INGENIERIA INFORMATICA AUDITORIA INFORMATICA Auditoria Informatica - Tema AI03 Analis y gestion de riesgos

Technologie
1 von 83
AI03 AGR AI03 1 Análisis y Gestión de Riesgos TI Mª Carmen Molina Prego Pedro Luis García Repetto Auditoría Informática Grado Ingeniería Informática DACYA – FDI – UCM
AI03 AGR AI03 2 Índice 1. Introducción 2. Magerit 3. PILAR 4. BICINET 5. Bibliografía
AI03 AGR AI03 3 1 Introducción I ISO/IEC 38500 Gobierno corporativo de las TI Las decisiones de gobierno se fundamentan en el conocimiento de los riesgos. GRC: Marco equilibrado de Gobierno, gestión del Riesgo y Cumplimiento Gobernanza trata todos los riesgos, incluidos los TIC, de una forma integral. Confianza: 1. f. Esperanza firme que se tiene de alguien o algo. (www.rae.es)
AI03 AGR AI03 4 1 Introducción II Conocer los riesgos para poder afrontarlos y controlarlos. Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización Análisis de riesgos: proceso sistemático para evaluar la magnitud del riesgo a que está expuesta la organización Tratamiento o gestión de los riesgos: proceso destinado a modificar el riesgo Ausencia de incidentes Confianza en que los incidentes están bajo control
AI03 AGR AI03 5 1 Introducción III MAR •Método de Análisis de Riesgos PGR •Proceso de Gestión de Riesgos PAR •Proyecto de Análisis de Riesgos PS •Plan de Seguridad
AI03 AGR AI03 6 Índice 1. Introducción 2. Magerit 3. PILAR 4. BICINET 5. Bibliografía
AI03 AGR AI03 7 2 MAGERIT 2.1 MAR Método de Análisis de Riesgos 2.2 PGR Proceso de Gestión de Riesgos 2.3 PAR Proyecto de Análisis de Riesgos
AI03 AGR AI03 8 2.1 MAGERIT- Método de Análisis de Riesgos Análisis de riesgos: aproximación metódica para determinar el riesgo 1 Activos y su valor 2 Amenazas sobre activos 3 Salvaguardas 4 Impacto residual 5 Riesgo residual Riesgo e impacto potencial
AI03 AGR AI03 9 2.1 MAGERIT- Método de Análisis de Riesgos Análisis de riesgos potenciales 1 2
AI03 AGR AI03 10 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Activos
AI03 AGR AI03 11 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Dependencias entre Activos Grafos de dependencias: la seguridad de los activos superiores depende de la seguridad de los inferiores Dependencia: incidente de seguridad en un activo afecta a los activos superiores Amenaza: Materialización en un activo afecta a los activos superiores Activos se estructuran en capas donde las superiores dependen de las inferiores
AI03 AGR AI03 12 2.1 MAGERIT- Método de Análisis de Riesgos Imagen – Reputación - Brand
AI03 AGR AI03 13 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Dimensiones de los activos Servicios Finales Internos Externos Dimensiones Confidencialidad Datos Integridad Datos Disponibilidad Servicios Dimensiones Autenticidad Servicios-datos Trazabilidad Uso del servicio Trazabilidad Acceso datos
AI03 AGR AI03 14 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Valor de los activos ¿Por qué nos interesa un activo? Por lo que vale Valor propio Valor acumulado: se acumula hacia abajo en el árbol de dependencias de activos € €€€€€€ €€ €€€ €€€€ €€€€€
AI03 AGR AI03 15 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Valor de los activos Valoración económica: €/$ MA Muy alto A Alto M Medio B Bajo MB Muy bajo 10 Extremo Daño extra grave 9 Muy Alto Daño muy grave 6-8 Alto Daño grave 3-5 Medio Daño importante 1-2 Bajo Daño menor 0 Desprec. Irrelevante Valoración cualitativa Valoración cuantitativa
AI03 AGR AI03 16 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Valor del activo servicio Coste de la (interrupción de la) disponibilidad
AI03 AGR AI03 17 2.1 MAGERIT- Método de Análisis de Riesgos Paso 2: Amenazas Amenaza: Causa potencial de un incidente que puede causar daños a un SI o a organiz. (UNE 71504:2008) Amenaza: “cosas que ocurren” y afectan los a activos
AI03 AGR AI03 18 2.1 MAGERIT- Método de Análisis de Riesgos Paso 2: Valoración de Amenazas Probabilidad: cuán probable o improbable es que se materialice la amenaza Degradación: cuán perjudicado resultaría (el valor) del activo si se materializa una amenaza
AI03 AGR AI03 19 2.1 MAGERIT- Método de Análisis de Riesgos Paso 2: Valoración de Amenazas - Impacto
AI03 AGR AI03 20 2.1 MAGERIT- Método de Análisis de Riesgos Impacto potencial Impacto potencial: medida del daño sobre el activo derivado de la materialización de una amenaza Impacto acumulado: valor acumulado y sus amenazas Impacto repercutido: valor propio y amenazas de todos los activos de los que depende € €€ Amenaza € Amenaza€
AI03 AGR AI03 21 2.1 MAGERIT- Método de Análisis de Riesgos Paso 2: Valoración de Amenazas - Riesgo
AI03 AGR AI03 22 2.1 MAGERIT- Método de Análisis de Riesgos Riesgo potencial Riesgo: Probabilidad de que una amenaza se materialice en un activo provocando un impacto Riesgo potencial: medida del daño probable sobre un activo Riesgo acumulado: impacto acumulado y Prob ( amenaza) Riesgo repercutido: impacto repercutido y Prob (amenazas) € €€ Amenaza € Impacto acumulado Impacto repercutido € Amenaza
AI03 AGR AI03 23 2.1 MAGERIT- Método de Análisis de Riesgos Salvaguarda o contramedida o control: procedimientos o mecanismos tecnológicos que reducen el riesgo Paso 3: Salvaguardas Seleccionar salvaguardaTipo de activo Dimensión a proteger Amenazas ¿Existen salvaguardas?
AI03 AGR AI03 24 2.1 MAGERIT- Método de Análisis de Riesgos Seleccionar salvaguarda: principio de proporcionalidad Declaración de aplicabilidad (SOA): aplica o no aplica Si no aplica: se justifica por qué no aplica Paso 3: Salvaguardas Proporcio- nalidad Valor propio del activo Valor acumulado del activo Probabilidad de que ocurra una amenaza Riesgo cubierto por salvaguardas existentes
AI03 AGR AI03 25 2.1 MAGERIT- Método de Análisis de Riesgos Paso 3: Efecto de las salvaguardas – Riesgo residual
AI03 AGR AI03 26 2.1 MAGERIT- Método de Análisis de Riesgos Paso 3: Tipos de salvaguardas
AI03 AGR AI03 27 2.1 MAGERIT- Método de Análisis de Riesgos Paso 3: Eficacia y madurez de las salvaguardas
AI03 AGR AI03 28 2.1 MAGERIT- Método de Análisis de Riesgos Vulnerabilidad: debilidad de los activos o de sus salvaguardas que facilitan el éxito de una amenaza potencial. Vulnerabilidad: ausencia, ineficacia o funcionamiento parcial de una salvaguarda. Insuficiencia: la eficacia medida de una salvaguarda es insuficiente para proteger el valor de un activo expuesto a una amenaza. Paso 3: Salvaguardas
AI03 AGR AI03 29 2.1 MAGERIT- Método de Análisis de Riesgos Con la implantación de la salvaguarda: 1. Se ha reducido el impacto desde un valor potencial a un valor residual 2. El activo, su valor y sus dependencias no han cambiado 3. Se ha reducido la magnitud de la degradación Impacto residual 1. Acumulado sobre los activos inferiores 2. Repercutido sobre los activos superiores Paso 4: Impacto residual
AI03 AGR AI03 30 2.1 MAGERIT- Método de Análisis de Riesgos Con la implantación de la salvaguarda: 1. Se ha reducido el riesgo desde un valor potencial a un valor residual 2. El activo, su valor y sus dependencias no han cambiado 3. Se ha reducido la magnitud de la probabilidad Riesgo residual 1. Acumulado sobre los activos inferiores 2. Repercutido sobre los activos superiores Paso 5: Riesgo residual
AI03 AGR AI03 31 2.1 MAGERIT- Método de Análisis de Riesgos MAR – Método de Análisis de Riesgos Modelo de valor Mapa de riesgos SOA Eval. salvaguardas Insuficiencias Estado del riesgo
AI03 AGR AI03 32 2 MAGERIT 2.1 Método de Análisis de Riesgos 2.2 Proceso de Gestión de Riesgos 2.3 Proyecto de Análisis de Riesgos
AI03 AGR AI03 33 2.2 MAGERIT- Proceso de Gestión de Riesgos Calificar cada riesgo residual según si es: 1. Crítico: requiere atención urgente 2. Grave: requiere atención 3. Apreciable: se puede estudiar para su tratamiento 4. Asumible: no se toman acciones para atajarlo 1. Riesgo asumible 2. Impacto residual es asumible 3. Riesgo residual es asumible Coste de la salvaguarda es desproporcionado frente 1. Al valor del activo a proteger 2. Al impacto y riesgo residual
AI03 AGR AI03 34 2.2 MAGERIT- Proceso de Gestión de Riesgos Decisiones de tratamiento de riesgos
AI03 AGR AI03 35 2.2 MAGERIT- Proceso de Gestión de Riesgos Se tratan los riesgos: zonas de riesgos Zona 1: Gestionar Zona 2: Gestionar y monitorizar Zona 3: Obviar Zona 4: Reacción y recuperación
AI03 AGR AI03 36 2.2 MAGERIT- Proceso de Gestión de Riesgos Opciones en el tratamiento de los riesgos Eliminar la fuente del riesgos: No para información y servicios. Ej. Cambio SO, cambio arquitectura, etc. Mitigación del riesgo: Reducir la degradación o probabilidad con nuevas salvaguardas Compartir o transferir el riesgo: seguros o contratación Financiación: fondos de contingencia
AI03 AGR AI03 37 2.2 MAGERIT- Proceso de Gestión de Riesgos Análisis de Riesgos PLAN ACT CHECK DO
AI03 AGR AI03 38 2.2 MAGERIT- Proceso de Gestión de Riesgos Matriz RACI - ENS
AI03 AGR AI03 39 2 MAGERIT 2.1 Método de Análisis de Riesgos 2.2 Proceso de Gestión de Riesgos 2.3 Proyecto de Análisis de Riesgos
AI03 AGR AI03 40 2.3 MAGERIT- Proyecto de Análisis de Riesgos Roles y funciones Comité de seguimiento: RSERV, RINFO, RSIS y RSEG Equipo de proyecto: RSIS y RSEG Director del Proyecto: directivo alto nivel Interlocutores: TI y gestión Enlace operacional: entre equipo de proyecto y gestión PAR – Proyecto de Análisis de Riesgos
AI03 AGR AI03 41 Índice 1. Introducción 2. Magerit 3.PILAR 4. BICINET 5. Bibliografía
AI03 AGR AI03 42 3 PILAR Descargar en www.ccn-cert.es e instalar PILAR BASIC 5.2.3 – Modo trabajo–Lic. Temp. 30 días Disponible Windows, unix, mac Disponible es, en, ens Análisis cualitativo Guía de Seguridad de las TIC (CCN-STIC-470D) Manual de Usuario PILAR versión 5.1 Ejemplos (*.mgr) En la herramienta: Unidad administrativa biblioteca En CCN-CERT: Análisis de riesgos Continuidad de operaciones
AI03 AGR AI03 43 3 PILAR Ejemplo AR MAGERIT versión 2 Libro I – El Método Anexo 7. Caso Práctico PILAR: ejemplo_ens_mgr Nivel: básico
AI03 AGR AI03 44 3 PILAR Enunciado I - Introducción Administración electrónica Pequeña ciudad en la que se prestan servicios administrativos a los administrados: Presencial (ventanilla) Desplazándose a los locales del ayuntamiento Servicio www En Internet, en casa o fuera de la ciudad Los avisos se reciben por e-mail El sistema de información maneja expedientes administrativos
AI03 AGR AI03 45 3 PILAR Enunciado II – Servicios internos Los expedientes se almacenan localmente mientras están abiertos Hay una VPN a la capital de la provincia Los expedientes se descargan cuando se requieren Los expedientes se remiten a la capital cuando se cierran La disponibilidad a largo plazo la proporcionan en la capital
AI03 AGR AI03 46 3 PILAR Enunciado III – Servicios internos La mensajería electrónica se usa asiduamente: Coordinación interna Anuncios a los administrados Los mensajes se guardan en el servidor central No hay mensajes almacenados en los PC Enunciado III – Servicios externos Gestión de expedientes por internet Gestión de expedientes de manera presencial
AI03 AGR AI03 47 3 PILAR Enunciado IV – Equipamiento oficinas
AI03 AGR AI03 48 3 PILAR Enunciado IV – Software instalado
AI03 AGR AI03 49 3 PILAR Proyecto AR con PILAR D-Proyecto A-Análisis de riesgos T-Tratamiento (gestión) de riesgos R-Informes E-Perfiles de seguridad
AI03 AGR AI03 50 3 PILAR Proyecto AR con PILAR (D) Definir el proyecto (D.1) Datos del proyecto (D.2) Dominios de seguridad: agrupación de activos por ej. una sede, dependencia, delegación o CPD. Usar: Dominio Base para la oficina local
AI03 AGR AI03 51 3 PILAR Proyecto AR con PILAR - A-Análisis de riesgos A.1-Activos A.1-Identificación activos A.2-Clases de activos A.3-Dependencias entre activos A.4-Valoración de activos en ACIDT A.2- Amenazas A.3-Impacto y riesgo
AI03 AGR AI03 52 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - (A.1) Activos (A.1.1) Identificación: Capa estándar de activos: [B] Capa de negocio [IS] Servicios internos [E] Equipamiento [SW] Aplicaciones [HW] Equipos [COM] Comunicaciones [AUX] Elementos auxiliares [SS] Servicios subcontratados [L] Instalaciones [P] Personal
AI03 AGR AI03 53 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - (A.1) Activos (A.1.1) Identificación (A.1.2) Clases de activos: propiedades de los activos según las clases a las que pertenezcan. Activo “Expedientes” Clase esencial - información Clase datos/información adm: datos de interés Per.M: datos carácter personal, nivel medio Activo “Tramitación de expedientes” Clase aplicaciones software Sub: Desarrollo a medida
AI03 AGR AI03 54 3 PILAR Proyecto AR con PILAR (A)Análisis riesgos - (A.2) Clases Activos - Servidor Clase datos/información conf: datos de configuración log: registro de actividad Clase aplicaciones/estándar www: servidor de presentación App: servidor de aplicaciones Email: servidor de correo electrónico File: servidor de ficheros Av: antivirus Clase aplicaciones/sistema operativo Os: windows
AI03 AGR AI03 55 3 PILAR Proyecto AR con PILAR (A)Análisis riesgos - (A.2) Clases Activos - Servidor …./… Clase aplicaciones/sistema operativo Os: windows Clase equipamiento informático Mid: equipos medios Data: almacena datos Clase soportes de información/electrónicos Disc: discos Activo “Sala de equipos” Clase Instalaciones Local: cuarto
AI03 AGR AI03 56 3 PILAR Proyecto AR con PILAR (A.1) Activos (A.1.3) Dependencias
AI03 AGR AI03 57 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - (A.1) Activos (A.1.1) Identificación (A.1.2) Clases de activos (A.1.3) Dependencias (A.1.3) Valoración activos Se valoran los activos de la capa de negocio (información y servicios) en las dimensiones A-CID-T: Información: A, C, I y T Servicios: A , D y T Valoración cualitativa: Alta, Media o Baja Sub escalas: A+,A,A- M+,M,M+ B+,B,B- Visualizar: valor propio o acumulado (descendente)
AI03 AGR AI03 58 3 PILAR Proyecto AR con PILAR - A-Análisis de riesgos A.1-Activos A.2-Amenazas A.2.1 Vulnerabilidades A.2.2 Identificación A.2.3 Valoración A.3-Impacto y riesgo Cambio de ejemplo Proyecto PILAR: ejemplo_ens.mgr
AI03 AGR AI03 59 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - A.2 Amenazas - A.2.1 Vulnerabilidades Criterios: entorno donde se encuentra los activos Vulnerabilidades se implementan mediante criterios que se asignan a los dominios (Ej. Dominio base): Identificación atacante – Público en general Identificación atacante – Personal interno Motivación atacante – Competidor comercial Motivación personal interno – Sobrecarga de trabajo Conectividad del SI – Conectado a internet Ubicación SI – zona segura (en casa)
AI03 AGR AI03 60 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - A.2 Amenazas - A.2.2 Identificación Gestión automática de amenazas sobre cada activo según los criterios asignados al dominio del activo. Ejemplos:
AI03 AGR AI03 61 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - A.2 Amenazas - A.2.3 Valoración Las amenazas se valoran en dos dimensiones (Gestión automática):  Frecuencia de materialización. Por defecto por niveles: B-M-A-MA  Impacto: pérdida de valor del activo en cada dimensión A-CID-T.
AI03 AGR AI03 62 3 PILAR Proyecto AR con PILAR - A-Análisis de riesgos A.1-Activos A.2-Amenazas A.3-Impacto y riesgo A.3.1 Impacto A.3.2 Riesgo Muestra por A-CID-T los impactos y riesgos potenciales que sufrirían los activos si no se aplican salvaguardas
AI03 AGR AI03 63 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - A.3 Impacto - A.3.1 Impacto  Impacto acumulado de amenazas sobre activos en A-CID-T  Impacto propio e impacto de activos hijos de los que depende  Valor acumulado del activo x Degradación por la amenaza  Impacto máximo es el valor del activo
AI03 AGR AI03 64 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - A.3 Impacto - A.3.2 Riesgo Riesgo de la materialización de las amenazas en los activos Riesgo = impacto * materialización de la amenaza En la dimensión C hay un riesgo 5 (crítico) de que se materialice la amenaza Acceso no autorizado en el activo Expedientes
AI03 AGR AI03 65 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.1 Fases del proyecto T.2 Salvaguardas T.2.1 Identificación T.22. Valoración T.3 Impacto y riesgo residual T.3.1 Impacto T.3.2 Riesgo  Situación actual  Plan urgente a 3 meses  Plan de seguridad a 1 año  Objetivo a largo plazo
AI03 AGR AI03 66 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.2.1 Salvaguardas – T.2.2 Identificación
AI03 AGR AI03 67 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.2.1 Salvaguardas – T.2.Valoración
AI03 AGR AI03 68 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.3 I/R residual – T.3.1 Impacto residual Por fases del proyecto: potencial (sin salvaguardas= A.3.1 impacto), actual, 3 meses, 1 año, objetivo final Impacto residual va decreciendo según aumenta el nivel de madurez de las salvaguardas aplicadas
AI03 AGR AI03 69 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.3 I/R residual – T.3.1 Impacto residual
AI03 AGR AI03 70 3 PILAR
AI03 AGR AI03 71 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.3 I/R residual – T.3.2 Riesgo residual Por fases del proyecto: potencial (sin salvaguardas= A.3.2 riesgo), actual, 3 meses, 1 año, objetivo final Riesgo residual va decreciendo según aumenta el nivel de madurez de las salvaguardas aplicadas
AI03 AGR AI03 72 3 PILAR Proyecto AR con PILAR - I- Informes Texto: Modelo de valor, amenazas, salvaguardas, análisis de impacto, estado del riesgo y perfil de seguridad Gráficos: Valor activos, salvaguardas, impacto y riesgo Proyecto AR con PILAR - E- Perfiles de seguridad  UNE-ISO/IEC 27002:2009  RD 1720 Protección de datos de carácter personal  SP800-53 Controles de seguridad NIST
AI03 AGR AI03 73 3 PILAR Otros ejemplos Ejemplo_ens: en PILAR BICINET TRABAJOS EN GRUPO Definir una organización/empresa/negocio sencillo con un único dominio y una sola capa Con servicios internos (Correo, nóminas y pedidos) Red LAN para usuarios Cortafuegos y conexión ADSL a internet Servidor WEB/Aplicación/BD Realizar AR y obtener informes principales
AI03 AGR AI03 74 Índice 1. Introducción 2. Magerit 3. PILAR 4.BICINET 5. Bibliografía
AI03 AGR AI03 75 4 BICINET Venta bicis presencial e internet Misión: comercio sostenible de bicicletas Valores: ética y responsabilidad social Sede: única en Cabárceno (Cantabria) Oficinas personal para venta presencial y por internet Sala con equipamiento informático Servicio externos  Venta presencial  Venta por internet  Red social pública Servicio internos  Gestión y promoción del personal  Red social privada Otros servicios Internet, correo y almacenamiento nube, contingencia
AI03 AGR AI03 76 4 BICINET Infraestructura Red área local, PC, servidor, cortafuegos, ADSL Locales Oficina y sala en edificio compartido con seguridad de la comunidad. Sala en ambiente oficina sin medidas especiales Aplicaciones Desarrollo propio con software libre Acceso NIF/Contraseña sin políticas especiales salvaguardas: esporádicas en el propio servidor Personal 4 vendedores, 1 administrativo, 1 TIC, 1 gerente
AI03 AGR AI03 77 4 BICINET Activos y dependencias A.1.[1-3] Depende de D_BICIS D_ADMIN S_PRESENCIA L S_REMOTO S_ADMIN APLIC_BICIS APLIC_ADMI N PC LAN SERVIDOR ADSL OFICINA SALA PERSVENTA PERTIC GERENTE D_BICIS D D I I I I I I I D D_ADMIN D I I I I I I D S_PRESENCIAL D D D D I I D S_REMOTO D D D D D D I D S_ADMIN D D D D I I D APLIC_BICIS D APLIC_ADMIN D PC D D I D LAN D D D SERVIDOR D D ADSL D D OFICINA D SALA D PERS VENTA PER TIC GERENTE D: Dependencia directa I: Dependencia indirecta
AI03 AGR AI03 78 4 BICINET Activos y dependencias A.1.[1-3]
AI03 AGR AI03 79 4 BICINET Valoración de activos – A.1.4 Sólo activos esenciales: Información y servicios En las 5+1 dimensiones: A – CID – T_Info - T_Serv Resto activos: valor acumulado por sumatorio descendente de valor. Valor cualitativo Autenticidad Confidencialidad Integridad Disponibilidad TrazaServicio TrazaDatos INFO_BICIS 8 8 9 8 INFO_ADMIN 4 4 5 4 S_PRESENCIAL 6 5 6 S_REMOTO 8 9 8 S_ADMIN 4 3 4
AI03 AGR AI03 80 4 BICINET Amenazas - Aplicar criterios – A.2.1
AI03 AGR AI03 81 4 BICINET Amenazas – Identificación – A.2.2 Editar – Opciones – Amenazas - Automático Amenazas – Valoración – A.2.3 Editar – Opciones – Amenazas - Automático Impacto y riesgo – A.3 Tratamiento de los riesgos T.[1-3] T.1 Fases del Proyecto T.2 Salvaguardas T.3 Impacto y riesgo residual
AI03 AGR AI03 82 4 Bibliografía administracionelectronica.gob.es www.ccn.cni.es Otras metodologías o estándares de AGR CRAMM CCTA Risk Analysis and Management Method ISO/IEC 27005 Information Security Risk Management NIST 800-30 Risk Management Guide for ITS NIST 800-37 Guide for Applying the Risk Managamente Framework to Federal ITS NIST 800-39 Managing Information Security Risk OCTAVE Managing IS Risk – SEI Carnegie Mellon ISACA RISK IT Gestión de Riesgos en TI UNE 71504 Análisis y gestión de riesgos para los SI
AI03 AGR AI03 83 Dudas, preguntas y reflexiones MUCHAS GRACIAS ?

Empfohlen

Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit MetodologiaAndres Soto Suarez
 
How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?PECB
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
 
Simplified Security Code Review Process
Simplified Security Code Review ProcessSimplified Security Code Review Process
Simplified Security Code Review ProcessSherif Koussa
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Security Training: #3 Threat Modelling - Practices and Tools
Security Training: #3 Threat Modelling - Practices and ToolsSecurity Training: #3 Threat Modelling - Practices and Tools
Security Training: #3 Threat Modelling - Practices and ToolsYulian Slobodyan
 
Amenazas de internet
Amenazas de internetAmenazas de internet
Amenazas de internetMarcoAmasifuen
 

Empfohlen

Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit MetodologiaAndres Soto Suarez
 
How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?PECB
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
 
Simplified Security Code Review Process
Simplified Security Code Review ProcessSimplified Security Code Review Process
Simplified Security Code Review ProcessSherif Koussa
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Security Training: #3 Threat Modelling - Practices and Tools
Security Training: #3 Threat Modelling - Practices and ToolsSecurity Training: #3 Threat Modelling - Practices and Tools
Security Training: #3 Threat Modelling - Practices and ToolsYulian Slobodyan
 
Amenazas de internet
Amenazas de internetAmenazas de internet
Amenazas de internetMarcoAmasifuen
 
Threat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep SinghThreat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep SinghOWASP Delhi
 
PECB Webinar: ¿Por qué toda organización necesita un CISO?
PECB Webinar: ¿Por qué toda organización necesita un CISO?PECB Webinar: ¿Por qué toda organización necesita un CISO?
PECB Webinar: ¿Por qué toda organización necesita un CISO?PECB
 
Ciberseguridad
CiberseguridadCiberseguridad
CiberseguridadNâTi Gomez
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
Secure code practices
Secure code practicesSecure code practices
Secure code practicesHina Rawal
 
Isms Implementer Course Module 1 Introduction To Information Security
Isms Implementer Course Module 1 Introduction To Information SecurityIsms Implementer Course Module 1 Introduction To Information Security
Isms Implementer Course Module 1 Introduction To Information Securityanilchip
 
Information Security Awareness
Information Security AwarenessInformation Security Awareness
Information Security AwarenessAli Hassan Ba-Issa
 
Threat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptxThreat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptxInfosec
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Ciberseguridad en empresas
Ciberseguridad en empresasCiberseguridad en empresas
Ciberseguridad en empresasPedro De La Torre Rodríguez
 
Analisis de Vulnerabilidades
Analisis de VulnerabilidadesAnalisis de Vulnerabilidades
Analisis de VulnerabilidadesMeztli Valeriano Orozco
 
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...EyesOpen Association
 
Asignando roles, responsabilidad y autoridad en la seguridad de la información
Asignando roles, responsabilidad y autoridad en la seguridad de la informaciónAsignando roles, responsabilidad y autoridad en la seguridad de la información
Asignando roles, responsabilidad y autoridad en la seguridad de la informaciónPECB
 
Scalable threat modelling with risk patterns
Scalable threat modelling with risk patternsScalable threat modelling with risk patterns
Scalable threat modelling with risk patternsStephen de Vries
 
3.5 Nessus
3.5 Nessus3.5 Nessus
3.5 NessusMeztli Valeriano Orozco
 
Diapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaDiapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaPedro Cobarrubias
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Ciro Bonilla
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 

Weitere ähnliche Inhalte

Was ist angesagt?

Threat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep SinghThreat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep SinghOWASP Delhi
 
PECB Webinar: ¿Por qué toda organización necesita un CISO?
PECB Webinar: ¿Por qué toda organización necesita un CISO?PECB Webinar: ¿Por qué toda organización necesita un CISO?
PECB Webinar: ¿Por qué toda organización necesita un CISO?PECB
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La informaciónLiliana Pérez
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5SemanticWebBuilder
 
Secure code practices
Secure code practicesSecure code practices
Secure code practicesHina Rawal
 
Isms Implementer Course Module 1 Introduction To Information Security
Isms Implementer Course Module 1 Introduction To Information SecurityIsms Implementer Course Module 1 Introduction To Information Security
Isms Implementer Course Module 1 Introduction To Information Securityanilchip
 
Information Security Awareness
Information Security AwarenessInformation Security Awareness
Information Security AwarenessAli Hassan Ba-Issa
 
Threat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptxThreat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptxInfosec
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...EyesOpen Association
 
Asignando roles, responsabilidad y autoridad en la seguridad de la información
Asignando roles, responsabilidad y autoridad en la seguridad de la informaciónAsignando roles, responsabilidad y autoridad en la seguridad de la información
Asignando roles, responsabilidad y autoridad en la seguridad de la informaciónPECB
 
Scalable threat modelling with risk patterns
Scalable threat modelling with risk patternsScalable threat modelling with risk patterns
Scalable threat modelling with risk patternsStephen de Vries
 
Diapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaDiapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaPedro Cobarrubias
 

Was ist angesagt? (20)

Threat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep SinghThreat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep Singh
 
PECB Webinar: ¿Por qué toda organización necesita un CISO?
PECB Webinar: ¿Por qué toda organización necesita un CISO?PECB Webinar: ¿Por qué toda organización necesita un CISO?
PECB Webinar: ¿Por qué toda organización necesita un CISO?
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
Seguridad De La información
Seguridad De La informaciónSeguridad De La información
Seguridad De La información
 
Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5Los 10 principales riesgos en aplicaciones web #CPMX5
Los 10 principales riesgos en aplicaciones web #CPMX5
 
Secure code practices
Secure code practicesSecure code practices
Secure code practices
 
Isms Implementer Course Module 1 Introduction To Information Security
Isms Implementer Course Module 1 Introduction To Information SecurityIsms Implementer Course Module 1 Introduction To Information Security
Isms Implementer Course Module 1 Introduction To Information Security
 
Information Security Awareness
Information Security AwarenessInformation Security Awareness
Information Security Awareness
 
Threat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptxThreat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptx
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Ciberseguridad en empresas
Ciberseguridad en empresasCiberseguridad en empresas
Ciberseguridad en empresas
 
Analisis de Vulnerabilidades
Analisis de VulnerabilidadesAnalisis de Vulnerabilidades
Analisis de Vulnerabilidades
 
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
L'Art du threat Modeling : Modéliser les menaces informatiques avec la méthod...
 
Asignando roles, responsabilidad y autoridad en la seguridad de la información
Asignando roles, responsabilidad y autoridad en la seguridad de la informaciónAsignando roles, responsabilidad y autoridad en la seguridad de la información
Asignando roles, responsabilidad y autoridad en la seguridad de la información
 
Scalable threat modelling with risk patterns
Scalable threat modelling with risk patternsScalable threat modelling with risk patterns
Scalable threat modelling with risk patterns
 
3.5 Nessus
3.5 Nessus3.5 Nessus
3.5 Nessus
 
Diapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaDiapositiva sobre seguridad informática
Diapositiva sobre seguridad informática
 

Andere mochten auch

Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Ciro Bonilla
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Pilar analisis de riesgo
Pilar analisis de riesgoPilar analisis de riesgo
Pilar analisis de riesgoHome
 
Eber mata(tesis lista)
Eber mata(tesis lista)Eber mata(tesis lista)
Eber mata(tesis lista)Oswaldo Lugo
 
AI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaAI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaPedro Garcia Repetto
 
Wiki 7 colaborativo gestión del riesgo
Wiki 7 colaborativo gestión del riesgoWiki 7 colaborativo gestión del riesgo
Wiki 7 colaborativo gestión del riesgoJortegadaza
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
Arquitecturas web escalables y de alta disponibilidad en la nube
Arquitecturas web escalables y de alta disponibilidad en la nubeArquitecturas web escalables y de alta disponibilidad en la nube
Arquitecturas web escalables y de alta disponibilidad en la nubeGuillermo Alvarado Mejía
 
Recuperación de la base de datos en Oracle
Recuperación de la base de datos en OracleRecuperación de la base de datos en Oracle
Recuperación de la base de datos en OracleCarmen Soler
 
AI01 Introducción Auditoria Informatica
AI01 Introducción Auditoria InformaticaAI01 Introducción Auditoria Informatica
AI01 Introducción Auditoria InformaticaPedro Garcia Repetto
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAPedro Garcia Repetto
 
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2Jack Daniel Cáceres Meza
 
Aspectos informaticos relevantes ley 1273 de 2009
Aspectos informaticos relevantes ley 1273 de 2009Aspectos informaticos relevantes ley 1273 de 2009
Aspectos informaticos relevantes ley 1273 de 2009german1537
 

Andere mochten auch (20)

Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
 
Pilar analisis de riesgo
Pilar analisis de riesgoPilar analisis de riesgo
Pilar analisis de riesgo
 
Eber mata(tesis lista)
Eber mata(tesis lista)Eber mata(tesis lista)
Eber mata(tesis lista)
 
AI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria InformaticaAI00 Presentación Auditoria Informatica
AI00 Presentación Auditoria Informatica
 
Wiki 7 colaborativo gestión del riesgo
Wiki 7 colaborativo gestión del riesgoWiki 7 colaborativo gestión del riesgo
Wiki 7 colaborativo gestión del riesgo
 
Manual gestion riesgos_2015
Manual gestion riesgos_2015Manual gestion riesgos_2015
Manual gestion riesgos_2015
 
Abd tema0y1
Abd tema0y1Abd tema0y1
Abd tema0y1
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
 
Cobit 5 introduction plgr
Cobit 5 introduction plgrCobit 5 introduction plgr
Cobit 5 introduction plgr
 
Arquitecturas web escalables y de alta disponibilidad en la nube
Arquitecturas web escalables y de alta disponibilidad en la nubeArquitecturas web escalables y de alta disponibilidad en la nube
Arquitecturas web escalables y de alta disponibilidad en la nube
 
Análisis de riesgos informáticos
Análisis de riesgos informáticosAnálisis de riesgos informáticos
Análisis de riesgos informáticos
 
Recuperación de la base de datos en Oracle
Recuperación de la base de datos en OracleRecuperación de la base de datos en Oracle
Recuperación de la base de datos en Oracle
 
AI02 Proceso de auditoría
AI02 Proceso de auditoríaAI02 Proceso de auditoría
AI02 Proceso de auditoría
 
Analisis de riesgo informatico
Analisis de riesgo informaticoAnalisis de riesgo informatico
Analisis de riesgo informatico
 
AI01 Introducción Auditoria Informatica
AI01 Introducción Auditoria InformaticaAI01 Introducción Auditoria Informatica
AI01 Introducción Auditoria Informatica
 
Auditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACAAuditoria Informatica - Tema AI10 ISACA
Auditoria Informatica - Tema AI10 ISACA
 
AI08 Auditoria producto software
AI08 Auditoria producto softwareAI08 Auditoria producto software
AI08 Auditoria producto software
 
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
 
Aspectos informaticos relevantes ley 1273 de 2009
Aspectos informaticos relevantes ley 1273 de 2009Aspectos informaticos relevantes ley 1273 de 2009
Aspectos informaticos relevantes ley 1273 de 2009
 

Ähnlich wie AI03 Analis y gestion de riesgos

Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 
Análisis cuantitativo de riesgos
Análisis cuantitativo de riesgosAnálisis cuantitativo de riesgos
Análisis cuantitativo de riesgoswinder hernandez
 
Cesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar Velez
 
Apraez laura - Actividad 3
Apraez laura - Actividad 3Apraez laura - Actividad 3
Apraez laura - Actividad 3Laura Apráez
 
MÉTODOS PARA LA EVALUACIÓN INTEGRAL DE RIESGOS
MÉTODOS PARA LA EVALUACIÓN INTEGRAL DE RIESGOSMÉTODOS PARA LA EVALUACIÓN INTEGRAL DE RIESGOS
MÉTODOS PARA LA EVALUACIÓN INTEGRAL DE RIESGOSGinnaMarcelaGarcaAma
 
Guia de autodiagnostico seguridad y salud ocupacional
Guia de autodiagnostico seguridad y salud ocupacionalGuia de autodiagnostico seguridad y salud ocupacional
Guia de autodiagnostico seguridad y salud ocupacionalJorge Pio
 
Proyecto Módulo III - Aseguramiento de Red de acuerdo a un Análisis y Evaluac...
Proyecto Módulo III - Aseguramiento de Red de acuerdo a un Análisis y Evaluac...Proyecto Módulo III - Aseguramiento de Red de acuerdo a un Análisis y Evaluac...
Proyecto Módulo III - Aseguramiento de Red de acuerdo a un Análisis y Evaluac...Ruddy Mauricio Candia Rosado
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMICHELCARLOSCUEVASSA
 
- Modulos II - II.pptx
- Modulos II - II.pptx- Modulos II - II.pptx
- Modulos II - II.pptxescarletcortes
 
Panorama de riesgos
Panorama de riesgosPanorama de riesgos
Panorama de riesgosbeautynicxy
 

Ähnlich wie AI03 Analis y gestion de riesgos (20)

Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de Riesgos
 
Análisis cuantitativo de riesgos
Análisis cuantitativo de riesgosAnálisis cuantitativo de riesgos
Análisis cuantitativo de riesgos
 
Cesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos magerit
 
Apraez laura - Actividad 3
Apraez laura - Actividad 3Apraez laura - Actividad 3
Apraez laura - Actividad 3
 
MÉTODOS PARA LA EVALUACIÓN INTEGRAL DE RIESGOS
MÉTODOS PARA LA EVALUACIÓN INTEGRAL DE RIESGOSMÉTODOS PARA LA EVALUACIÓN INTEGRAL DE RIESGOS
MÉTODOS PARA LA EVALUACIÓN INTEGRAL DE RIESGOS
 
Guia de autodiagnostico seguridad y salud ocupacional
Guia de autodiagnostico seguridad y salud ocupacionalGuia de autodiagnostico seguridad y salud ocupacional
Guia de autodiagnostico seguridad y salud ocupacional
 
Proyecto Módulo III - Aseguramiento de Red de acuerdo a un Análisis y Evaluac...
Proyecto Módulo III - Aseguramiento de Red de acuerdo a un Análisis y Evaluac...Proyecto Módulo III - Aseguramiento de Red de acuerdo a un Análisis y Evaluac...
Proyecto Módulo III - Aseguramiento de Red de acuerdo a un Análisis y Evaluac...
 
Seguridad y salud taller#2-c2-c
Seguridad y salud taller#2-c2-cSeguridad y salud taller#2-c2-c
Seguridad y salud taller#2-c2-c
 
Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3
 
Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3
 
Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3Prevencion de riesgos modulo 3
Prevencion de riesgos modulo 3
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
 
Metodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, MageritMetodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, Magerit
 
- Modulos II - II.pptx
- Modulos II - II.pptx- Modulos II - II.pptx
- Modulos II - II.pptx
 
Magerit
MageritMagerit
Magerit
 
Panorama de riesgos
Panorama de riesgosPanorama de riesgos
Panorama de riesgos
 
Analisis de riesgos_en_procesos
Analisis de riesgos_en_procesosAnalisis de riesgos_en_procesos
Analisis de riesgos_en_procesos
 
MODULO III (1).pdf
MODULO III (1).pdfMODULO III (1).pdf
MODULO III (1).pdf
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgos
 
Gestión del riesgo conceptos básicos
Gestión del riesgo conceptos básicosGestión del riesgo conceptos básicos
Gestión del riesgo conceptos básicos
 

Kürzlich hochgeladen

Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxJOSEMANUELHERNANDEZH11
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxJOSEFERNANDOARENASCA
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramDIDIERFERNANDOGUERRE
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxMariaBurgos55
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 

Kürzlich hochgeladen (20)

Hernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptxHernandez_Hernandez_Practica web de la sesion 11.pptx
Hernandez_Hernandez_Practica web de la sesion 11.pptx
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Arenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptxArenas Camacho-Practica tarea Sesión 12.pptx
Arenas Camacho-Practica tarea Sesión 12.pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
Explorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ramExplorando la historia y funcionamiento de la memoria ram
Explorando la historia y funcionamiento de la memoria ram
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
Segunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptxSegunda ley de la termodinámica TERMODINAMICA.pptx
Segunda ley de la termodinámica TERMODINAMICA.pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 

AI03 Analis y gestion de riesgos

  • 1. AI03 AGR AI03 1 Análisis y Gestión de Riesgos TI Mª Carmen Molina Prego Pedro Luis García Repetto Auditoría Informática Grado Ingeniería Informática DACYA – FDI – UCM
  • 2. AI03 AGR AI03 2 Índice 1. Introducción 2. Magerit 3. PILAR 4. BICINET 5. Bibliografía
  • 3. AI03 AGR AI03 3 1 Introducción I ISO/IEC 38500 Gobierno corporativo de las TI Las decisiones de gobierno se fundamentan en el conocimiento de los riesgos. GRC: Marco equilibrado de Gobierno, gestión del Riesgo y Cumplimiento Gobernanza trata todos los riesgos, incluidos los TIC, de una forma integral. Confianza: 1. f. Esperanza firme que se tiene de alguien o algo. (www.rae.es)
  • 4. AI03 AGR AI03 4 1 Introducción II Conocer los riesgos para poder afrontarlos y controlarlos. Riesgo: estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la organización Análisis de riesgos: proceso sistemático para evaluar la magnitud del riesgo a que está expuesta la organización Tratamiento o gestión de los riesgos: proceso destinado a modificar el riesgo Ausencia de incidentes Confianza en que los incidentes están bajo control
  • 5. AI03 AGR AI03 5 1 Introducción III MAR •Método de Análisis de Riesgos PGR •Proceso de Gestión de Riesgos PAR •Proyecto de Análisis de Riesgos PS •Plan de Seguridad
  • 6. AI03 AGR AI03 6 Índice 1. Introducción 2. Magerit 3. PILAR 4. BICINET 5. Bibliografía
  • 7. AI03 AGR AI03 7 2 MAGERIT 2.1 MAR Método de Análisis de Riesgos 2.2 PGR Proceso de Gestión de Riesgos 2.3 PAR Proyecto de Análisis de Riesgos
  • 8. AI03 AGR AI03 8 2.1 MAGERIT- Método de Análisis de Riesgos Análisis de riesgos: aproximación metódica para determinar el riesgo 1 Activos y su valor 2 Amenazas sobre activos 3 Salvaguardas 4 Impacto residual 5 Riesgo residual Riesgo e impacto potencial
  • 9. AI03 AGR AI03 9 2.1 MAGERIT- Método de Análisis de Riesgos Análisis de riesgos potenciales 1 2
  • 10. AI03 AGR AI03 10 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Activos
  • 11. AI03 AGR AI03 11 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Dependencias entre Activos Grafos de dependencias: la seguridad de los activos superiores depende de la seguridad de los inferiores Dependencia: incidente de seguridad en un activo afecta a los activos superiores Amenaza: Materialización en un activo afecta a los activos superiores Activos se estructuran en capas donde las superiores dependen de las inferiores
  • 12. AI03 AGR AI03 12 2.1 MAGERIT- Método de Análisis de Riesgos Imagen – Reputación - Brand
  • 13. AI03 AGR AI03 13 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Dimensiones de los activos Servicios Finales Internos Externos Dimensiones Confidencialidad Datos Integridad Datos Disponibilidad Servicios Dimensiones Autenticidad Servicios-datos Trazabilidad Uso del servicio Trazabilidad Acceso datos
  • 14. AI03 AGR AI03 14 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Valor de los activos ¿Por qué nos interesa un activo? Por lo que vale Valor propio Valor acumulado: se acumula hacia abajo en el árbol de dependencias de activos € €€€€€€ €€ €€€ €€€€ €€€€€
  • 15. AI03 AGR AI03 15 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Valor de los activos Valoración económica: €/$ MA Muy alto A Alto M Medio B Bajo MB Muy bajo 10 Extremo Daño extra grave 9 Muy Alto Daño muy grave 6-8 Alto Daño grave 3-5 Medio Daño importante 1-2 Bajo Daño menor 0 Desprec. Irrelevante Valoración cualitativa Valoración cuantitativa
  • 16. AI03 AGR AI03 16 2.1 MAGERIT- Método de Análisis de Riesgos Paso 1: Valor del activo servicio Coste de la (interrupción de la) disponibilidad
  • 17. AI03 AGR AI03 17 2.1 MAGERIT- Método de Análisis de Riesgos Paso 2: Amenazas Amenaza: Causa potencial de un incidente que puede causar daños a un SI o a organiz. (UNE 71504:2008) Amenaza: “cosas que ocurren” y afectan los a activos
  • 18. AI03 AGR AI03 18 2.1 MAGERIT- Método de Análisis de Riesgos Paso 2: Valoración de Amenazas Probabilidad: cuán probable o improbable es que se materialice la amenaza Degradación: cuán perjudicado resultaría (el valor) del activo si se materializa una amenaza
  • 19. AI03 AGR AI03 19 2.1 MAGERIT- Método de Análisis de Riesgos Paso 2: Valoración de Amenazas - Impacto
  • 20. AI03 AGR AI03 20 2.1 MAGERIT- Método de Análisis de Riesgos Impacto potencial Impacto potencial: medida del daño sobre el activo derivado de la materialización de una amenaza Impacto acumulado: valor acumulado y sus amenazas Impacto repercutido: valor propio y amenazas de todos los activos de los que depende € €€ Amenaza € Amenaza€
  • 21. AI03 AGR AI03 21 2.1 MAGERIT- Método de Análisis de Riesgos Paso 2: Valoración de Amenazas - Riesgo
  • 22. AI03 AGR AI03 22 2.1 MAGERIT- Método de Análisis de Riesgos Riesgo potencial Riesgo: Probabilidad de que una amenaza se materialice en un activo provocando un impacto Riesgo potencial: medida del daño probable sobre un activo Riesgo acumulado: impacto acumulado y Prob ( amenaza) Riesgo repercutido: impacto repercutido y Prob (amenazas) € €€ Amenaza € Impacto acumulado Impacto repercutido € Amenaza
  • 23. AI03 AGR AI03 23 2.1 MAGERIT- Método de Análisis de Riesgos Salvaguarda o contramedida o control: procedimientos o mecanismos tecnológicos que reducen el riesgo Paso 3: Salvaguardas Seleccionar salvaguardaTipo de activo Dimensión a proteger Amenazas ¿Existen salvaguardas?
  • 24. AI03 AGR AI03 24 2.1 MAGERIT- Método de Análisis de Riesgos Seleccionar salvaguarda: principio de proporcionalidad Declaración de aplicabilidad (SOA): aplica o no aplica Si no aplica: se justifica por qué no aplica Paso 3: Salvaguardas Proporcio- nalidad Valor propio del activo Valor acumulado del activo Probabilidad de que ocurra una amenaza Riesgo cubierto por salvaguardas existentes
  • 25. AI03 AGR AI03 25 2.1 MAGERIT- Método de Análisis de Riesgos Paso 3: Efecto de las salvaguardas – Riesgo residual
  • 26. AI03 AGR AI03 26 2.1 MAGERIT- Método de Análisis de Riesgos Paso 3: Tipos de salvaguardas
  • 27. AI03 AGR AI03 27 2.1 MAGERIT- Método de Análisis de Riesgos Paso 3: Eficacia y madurez de las salvaguardas
  • 28. AI03 AGR AI03 28 2.1 MAGERIT- Método de Análisis de Riesgos Vulnerabilidad: debilidad de los activos o de sus salvaguardas que facilitan el éxito de una amenaza potencial. Vulnerabilidad: ausencia, ineficacia o funcionamiento parcial de una salvaguarda. Insuficiencia: la eficacia medida de una salvaguarda es insuficiente para proteger el valor de un activo expuesto a una amenaza. Paso 3: Salvaguardas
  • 29. AI03 AGR AI03 29 2.1 MAGERIT- Método de Análisis de Riesgos Con la implantación de la salvaguarda: 1. Se ha reducido el impacto desde un valor potencial a un valor residual 2. El activo, su valor y sus dependencias no han cambiado 3. Se ha reducido la magnitud de la degradación Impacto residual 1. Acumulado sobre los activos inferiores 2. Repercutido sobre los activos superiores Paso 4: Impacto residual
  • 30. AI03 AGR AI03 30 2.1 MAGERIT- Método de Análisis de Riesgos Con la implantación de la salvaguarda: 1. Se ha reducido el riesgo desde un valor potencial a un valor residual 2. El activo, su valor y sus dependencias no han cambiado 3. Se ha reducido la magnitud de la probabilidad Riesgo residual 1. Acumulado sobre los activos inferiores 2. Repercutido sobre los activos superiores Paso 5: Riesgo residual
  • 31. AI03 AGR AI03 31 2.1 MAGERIT- Método de Análisis de Riesgos MAR – Método de Análisis de Riesgos Modelo de valor Mapa de riesgos SOA Eval. salvaguardas Insuficiencias Estado del riesgo
  • 32. AI03 AGR AI03 32 2 MAGERIT 2.1 Método de Análisis de Riesgos 2.2 Proceso de Gestión de Riesgos 2.3 Proyecto de Análisis de Riesgos
  • 33. AI03 AGR AI03 33 2.2 MAGERIT- Proceso de Gestión de Riesgos Calificar cada riesgo residual según si es: 1. Crítico: requiere atención urgente 2. Grave: requiere atención 3. Apreciable: se puede estudiar para su tratamiento 4. Asumible: no se toman acciones para atajarlo 1. Riesgo asumible 2. Impacto residual es asumible 3. Riesgo residual es asumible Coste de la salvaguarda es desproporcionado frente 1. Al valor del activo a proteger 2. Al impacto y riesgo residual
  • 34. AI03 AGR AI03 34 2.2 MAGERIT- Proceso de Gestión de Riesgos Decisiones de tratamiento de riesgos
  • 35. AI03 AGR AI03 35 2.2 MAGERIT- Proceso de Gestión de Riesgos Se tratan los riesgos: zonas de riesgos Zona 1: Gestionar Zona 2: Gestionar y monitorizar Zona 3: Obviar Zona 4: Reacción y recuperación
  • 36. AI03 AGR AI03 36 2.2 MAGERIT- Proceso de Gestión de Riesgos Opciones en el tratamiento de los riesgos Eliminar la fuente del riesgos: No para información y servicios. Ej. Cambio SO, cambio arquitectura, etc. Mitigación del riesgo: Reducir la degradación o probabilidad con nuevas salvaguardas Compartir o transferir el riesgo: seguros o contratación Financiación: fondos de contingencia
  • 37. AI03 AGR AI03 37 2.2 MAGERIT- Proceso de Gestión de Riesgos Análisis de Riesgos PLAN ACT CHECK DO
  • 38. AI03 AGR AI03 38 2.2 MAGERIT- Proceso de Gestión de Riesgos Matriz RACI - ENS
  • 39. AI03 AGR AI03 39 2 MAGERIT 2.1 Método de Análisis de Riesgos 2.2 Proceso de Gestión de Riesgos 2.3 Proyecto de Análisis de Riesgos
  • 40. AI03 AGR AI03 40 2.3 MAGERIT- Proyecto de Análisis de Riesgos Roles y funciones Comité de seguimiento: RSERV, RINFO, RSIS y RSEG Equipo de proyecto: RSIS y RSEG Director del Proyecto: directivo alto nivel Interlocutores: TI y gestión Enlace operacional: entre equipo de proyecto y gestión PAR – Proyecto de Análisis de Riesgos
  • 41. AI03 AGR AI03 41 Índice 1. Introducción 2. Magerit 3.PILAR 4. BICINET 5. Bibliografía
  • 42. AI03 AGR AI03 42 3 PILAR Descargar en www.ccn-cert.es e instalar PILAR BASIC 5.2.3 – Modo trabajo–Lic. Temp. 30 días Disponible Windows, unix, mac Disponible es, en, ens Análisis cualitativo Guía de Seguridad de las TIC (CCN-STIC-470D) Manual de Usuario PILAR versión 5.1 Ejemplos (*.mgr) En la herramienta: Unidad administrativa biblioteca En CCN-CERT: Análisis de riesgos Continuidad de operaciones
  • 43. AI03 AGR AI03 43 3 PILAR Ejemplo AR MAGERIT versión 2 Libro I – El Método Anexo 7. Caso Práctico PILAR: ejemplo_ens_mgr Nivel: básico
  • 44. AI03 AGR AI03 44 3 PILAR Enunciado I - Introducción Administración electrónica Pequeña ciudad en la que se prestan servicios administrativos a los administrados: Presencial (ventanilla) Desplazándose a los locales del ayuntamiento Servicio www En Internet, en casa o fuera de la ciudad Los avisos se reciben por e-mail El sistema de información maneja expedientes administrativos
  • 45. AI03 AGR AI03 45 3 PILAR Enunciado II – Servicios internos Los expedientes se almacenan localmente mientras están abiertos Hay una VPN a la capital de la provincia Los expedientes se descargan cuando se requieren Los expedientes se remiten a la capital cuando se cierran La disponibilidad a largo plazo la proporcionan en la capital
  • 46. AI03 AGR AI03 46 3 PILAR Enunciado III – Servicios internos La mensajería electrónica se usa asiduamente: Coordinación interna Anuncios a los administrados Los mensajes se guardan en el servidor central No hay mensajes almacenados en los PC Enunciado III – Servicios externos Gestión de expedientes por internet Gestión de expedientes de manera presencial
  • 47. AI03 AGR AI03 47 3 PILAR Enunciado IV – Equipamiento oficinas
  • 48. AI03 AGR AI03 48 3 PILAR Enunciado IV – Software instalado
  • 49. AI03 AGR AI03 49 3 PILAR Proyecto AR con PILAR D-Proyecto A-Análisis de riesgos T-Tratamiento (gestión) de riesgos R-Informes E-Perfiles de seguridad
  • 50. AI03 AGR AI03 50 3 PILAR Proyecto AR con PILAR (D) Definir el proyecto (D.1) Datos del proyecto (D.2) Dominios de seguridad: agrupación de activos por ej. una sede, dependencia, delegación o CPD. Usar: Dominio Base para la oficina local
  • 51. AI03 AGR AI03 51 3 PILAR Proyecto AR con PILAR - A-Análisis de riesgos A.1-Activos A.1-Identificación activos A.2-Clases de activos A.3-Dependencias entre activos A.4-Valoración de activos en ACIDT A.2- Amenazas A.3-Impacto y riesgo
  • 52. AI03 AGR AI03 52 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - (A.1) Activos (A.1.1) Identificación: Capa estándar de activos: [B] Capa de negocio [IS] Servicios internos [E] Equipamiento [SW] Aplicaciones [HW] Equipos [COM] Comunicaciones [AUX] Elementos auxiliares [SS] Servicios subcontratados [L] Instalaciones [P] Personal
  • 53. AI03 AGR AI03 53 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - (A.1) Activos (A.1.1) Identificación (A.1.2) Clases de activos: propiedades de los activos según las clases a las que pertenezcan. Activo “Expedientes” Clase esencial - información Clase datos/información adm: datos de interés Per.M: datos carácter personal, nivel medio Activo “Tramitación de expedientes” Clase aplicaciones software Sub: Desarrollo a medida
  • 54. AI03 AGR AI03 54 3 PILAR Proyecto AR con PILAR (A)Análisis riesgos - (A.2) Clases Activos - Servidor Clase datos/información conf: datos de configuración log: registro de actividad Clase aplicaciones/estándar www: servidor de presentación App: servidor de aplicaciones Email: servidor de correo electrónico File: servidor de ficheros Av: antivirus Clase aplicaciones/sistema operativo Os: windows
  • 55. AI03 AGR AI03 55 3 PILAR Proyecto AR con PILAR (A)Análisis riesgos - (A.2) Clases Activos - Servidor …./… Clase aplicaciones/sistema operativo Os: windows Clase equipamiento informático Mid: equipos medios Data: almacena datos Clase soportes de información/electrónicos Disc: discos Activo “Sala de equipos” Clase Instalaciones Local: cuarto
  • 56. AI03 AGR AI03 56 3 PILAR Proyecto AR con PILAR (A.1) Activos (A.1.3) Dependencias
  • 57. AI03 AGR AI03 57 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - (A.1) Activos (A.1.1) Identificación (A.1.2) Clases de activos (A.1.3) Dependencias (A.1.3) Valoración activos Se valoran los activos de la capa de negocio (información y servicios) en las dimensiones A-CID-T: Información: A, C, I y T Servicios: A , D y T Valoración cualitativa: Alta, Media o Baja Sub escalas: A+,A,A- M+,M,M+ B+,B,B- Visualizar: valor propio o acumulado (descendente)
  • 58. AI03 AGR AI03 58 3 PILAR Proyecto AR con PILAR - A-Análisis de riesgos A.1-Activos A.2-Amenazas A.2.1 Vulnerabilidades A.2.2 Identificación A.2.3 Valoración A.3-Impacto y riesgo Cambio de ejemplo Proyecto PILAR: ejemplo_ens.mgr
  • 59. AI03 AGR AI03 59 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - A.2 Amenazas - A.2.1 Vulnerabilidades Criterios: entorno donde se encuentra los activos Vulnerabilidades se implementan mediante criterios que se asignan a los dominios (Ej. Dominio base): Identificación atacante – Público en general Identificación atacante – Personal interno Motivación atacante – Competidor comercial Motivación personal interno – Sobrecarga de trabajo Conectividad del SI – Conectado a internet Ubicación SI – zona segura (en casa)
  • 60. AI03 AGR AI03 60 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - A.2 Amenazas - A.2.2 Identificación Gestión automática de amenazas sobre cada activo según los criterios asignados al dominio del activo. Ejemplos:
  • 61. AI03 AGR AI03 61 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - A.2 Amenazas - A.2.3 Valoración Las amenazas se valoran en dos dimensiones (Gestión automática):  Frecuencia de materialización. Por defecto por niveles: B-M-A-MA  Impacto: pérdida de valor del activo en cada dimensión A-CID-T.
  • 62. AI03 AGR AI03 62 3 PILAR Proyecto AR con PILAR - A-Análisis de riesgos A.1-Activos A.2-Amenazas A.3-Impacto y riesgo A.3.1 Impacto A.3.2 Riesgo Muestra por A-CID-T los impactos y riesgos potenciales que sufrirían los activos si no se aplican salvaguardas
  • 63. AI03 AGR AI03 63 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - A.3 Impacto - A.3.1 Impacto  Impacto acumulado de amenazas sobre activos en A-CID-T  Impacto propio e impacto de activos hijos de los que depende  Valor acumulado del activo x Degradación por la amenaza  Impacto máximo es el valor del activo
  • 64. AI03 AGR AI03 64 3 PILAR Proyecto AR con PILAR (A) Análisis de riesgos - A.3 Impacto - A.3.2 Riesgo Riesgo de la materialización de las amenazas en los activos Riesgo = impacto * materialización de la amenaza En la dimensión C hay un riesgo 5 (crítico) de que se materialice la amenaza Acceso no autorizado en el activo Expedientes
  • 65. AI03 AGR AI03 65 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.1 Fases del proyecto T.2 Salvaguardas T.2.1 Identificación T.22. Valoración T.3 Impacto y riesgo residual T.3.1 Impacto T.3.2 Riesgo  Situación actual  Plan urgente a 3 meses  Plan de seguridad a 1 año  Objetivo a largo plazo
  • 66. AI03 AGR AI03 66 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.2.1 Salvaguardas – T.2.2 Identificación
  • 67. AI03 AGR AI03 67 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.2.1 Salvaguardas – T.2.Valoración
  • 68. AI03 AGR AI03 68 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.3 I/R residual – T.3.1 Impacto residual Por fases del proyecto: potencial (sin salvaguardas= A.3.1 impacto), actual, 3 meses, 1 año, objetivo final Impacto residual va decreciendo según aumenta el nivel de madurez de las salvaguardas aplicadas
  • 69. AI03 AGR AI03 69 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.3 I/R residual – T.3.1 Impacto residual
  • 71. AI03 AGR AI03 71 3 PILAR Proyecto AR con PILAR - T-Tratamiento de riesgos T.3 I/R residual – T.3.2 Riesgo residual Por fases del proyecto: potencial (sin salvaguardas= A.3.2 riesgo), actual, 3 meses, 1 año, objetivo final Riesgo residual va decreciendo según aumenta el nivel de madurez de las salvaguardas aplicadas
  • 72. AI03 AGR AI03 72 3 PILAR Proyecto AR con PILAR - I- Informes Texto: Modelo de valor, amenazas, salvaguardas, análisis de impacto, estado del riesgo y perfil de seguridad Gráficos: Valor activos, salvaguardas, impacto y riesgo Proyecto AR con PILAR - E- Perfiles de seguridad  UNE-ISO/IEC 27002:2009  RD 1720 Protección de datos de carácter personal  SP800-53 Controles de seguridad NIST
  • 73. AI03 AGR AI03 73 3 PILAR Otros ejemplos Ejemplo_ens: en PILAR BICINET TRABAJOS EN GRUPO Definir una organización/empresa/negocio sencillo con un único dominio y una sola capa Con servicios internos (Correo, nóminas y pedidos) Red LAN para usuarios Cortafuegos y conexión ADSL a internet Servidor WEB/Aplicación/BD Realizar AR y obtener informes principales
  • 74. AI03 AGR AI03 74 Índice 1. Introducción 2. Magerit 3. PILAR 4.BICINET 5. Bibliografía
  • 75. AI03 AGR AI03 75 4 BICINET Venta bicis presencial e internet Misión: comercio sostenible de bicicletas Valores: ética y responsabilidad social Sede: única en Cabárceno (Cantabria) Oficinas personal para venta presencial y por internet Sala con equipamiento informático Servicio externos  Venta presencial  Venta por internet  Red social pública Servicio internos  Gestión y promoción del personal  Red social privada Otros servicios Internet, correo y almacenamiento nube, contingencia
  • 76. AI03 AGR AI03 76 4 BICINET Infraestructura Red área local, PC, servidor, cortafuegos, ADSL Locales Oficina y sala en edificio compartido con seguridad de la comunidad. Sala en ambiente oficina sin medidas especiales Aplicaciones Desarrollo propio con software libre Acceso NIF/Contraseña sin políticas especiales salvaguardas: esporádicas en el propio servidor Personal 4 vendedores, 1 administrativo, 1 TIC, 1 gerente
  • 77. AI03 AGR AI03 77 4 BICINET Activos y dependencias A.1.[1-3] Depende de D_BICIS D_ADMIN S_PRESENCIA L S_REMOTO S_ADMIN APLIC_BICIS APLIC_ADMI N PC LAN SERVIDOR ADSL OFICINA SALA PERSVENTA PERTIC GERENTE D_BICIS D D I I I I I I I D D_ADMIN D I I I I I I D S_PRESENCIAL D D D D I I D S_REMOTO D D D D D D I D S_ADMIN D D D D I I D APLIC_BICIS D APLIC_ADMIN D PC D D I D LAN D D D SERVIDOR D D ADSL D D OFICINA D SALA D PERS VENTA PER TIC GERENTE D: Dependencia directa I: Dependencia indirecta
  • 78. AI03 AGR AI03 78 4 BICINET Activos y dependencias A.1.[1-3]
  • 79. AI03 AGR AI03 79 4 BICINET Valoración de activos – A.1.4 Sólo activos esenciales: Información y servicios En las 5+1 dimensiones: A – CID – T_Info - T_Serv Resto activos: valor acumulado por sumatorio descendente de valor. Valor cualitativo Autenticidad Confidencialidad Integridad Disponibilidad TrazaServicio TrazaDatos INFO_BICIS 8 8 9 8 INFO_ADMIN 4 4 5 4 S_PRESENCIAL 6 5 6 S_REMOTO 8 9 8 S_ADMIN 4 3 4
  • 80. AI03 AGR AI03 80 4 BICINET Amenazas - Aplicar criterios – A.2.1
  • 81. AI03 AGR AI03 81 4 BICINET Amenazas – Identificación – A.2.2 Editar – Opciones – Amenazas - Automático Amenazas – Valoración – A.2.3 Editar – Opciones – Amenazas - Automático Impacto y riesgo – A.3 Tratamiento de los riesgos T.[1-3] T.1 Fases del Proyecto T.2 Salvaguardas T.3 Impacto y riesgo residual
  • 82. AI03 AGR AI03 82 4 Bibliografía administracionelectronica.gob.es www.ccn.cni.es Otras metodologías o estándares de AGR CRAMM CCTA Risk Analysis and Management Method ISO/IEC 27005 Information Security Risk Management NIST 800-30 Risk Management Guide for ITS NIST 800-37 Guide for Applying the Risk Managamente Framework to Federal ITS NIST 800-39 Managing Information Security Risk OCTAVE Managing IS Risk – SEI Carnegie Mellon ISACA RISK IT Gestión de Riesgos en TI UNE 71504 Análisis y gestión de riesgos para los SI
  • 83. AI03 AGR AI03 83 Dudas, preguntas y reflexiones MUCHAS GRACIAS ?