Sesión 2.1 Análisis de Riesgos PDF

Análisis de Riesgo
Informático
Ing. Darío González / Seguridad Computacional

Vulnerabilidad: es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información
pudiendo permitir que un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de la misma.
Amenaza: es toda acción que aprovecha una vulnerabilidad para atentar contra la seguridad de un sistema de
información. Es decir, que podría tener un potencial efecto negativo sobre algún elemento de nuestros sistemas. Las
amenazas pueden proceder de ataques (fraude, robo, virus), sucesos físicos (incendios, inundaciones) o negligencia y
decisiones institucionales (mal manejo de contraseñas, no usar cifrado).
Riesgo: es la probabilidad de que se produzca un incidente de seguridad, materializándose una amenaza y causando
pérdidas o daños. Se mide asumiendo que existe una cierta vulnerabilidad frente a una determinada amenaza.
El riesgo depende entonces de los siguientes factores: la probabilidad de que la amenaza se materialice aprovechando
una vulnerabilidad y produciendo un daño o impacto. El producto de estos factores representa el riesgo.
Fuentes de Amenazas
Malware o código malicioso: permite realizar diferentes acciones a un atacante. Desde ataques genéricos mediante la
utilización de troyanos, a ataques de precisión dirigidos.
Ingeniería social: Utilizan técnicas de persuasión que aprovechan la buena voluntad y falta de precaución de la víctima
para obtener información sensible o confidencial.
Botnets: conjunto de equipos infectados que ejecutan programas de manera automática y autónoma, que permite al
creador del botnet controlar los equipos infectados y utilizarlos para ataques más sofisticados como ataques DDoS.
Redes sociales: el uso no controlado de este tipo de redes puede poner en riesgo la reputación de la empresa.
Servicios en la nube: una empresa que contrate este tipo de servicios tiene que tener en cuenta que ha de exigir los
mismos criterios de seguridad que tiene en sus sistemas a su proveedor de servicios. Se ha de asegurar de contratarlos
con empresas cuya seguridad este demostrada, y firmar SLA o ANS (Acuerdos de Nivel de Servicio) en los que quede
definida la seguridad que necesita la empresa.
Pasos del Análisis de Riesgos
1. Definir el Alcance
Se recomienda que el análisis de riesgos cubra la totalidad del alcance del Plan de Seguridad Informática (PSI), dónde se
han seleccionado las áreas estratégicas sobre las que mejorar la seguridad. Por otra parte, también es posible definir un
alcance más limitado atendiendo a departamentos, procesos o sistemas. Por ejemplo, análisis de riesgos sobre los
procesos del departamento Administración, análisis de riesgos sobre los procesos de producción y gestión de almacén o
análisis de riesgos sobre los sistemas TIC relacionados con la página web de la empresa, etc. En este caso práctico
consideramos que el alcance escogido para el análisis de riesgos es “Los servicios y sistemas del Departamento
Informática”.
2. Identificar los Activos
Debemos identificar los activos más importantes que guardan relación con el departamento, proceso, o sistema objeto
del estudio. Para mantener un inventario de activos sencillo puede ser suficiente con hacer uso de una hoja de cálculo o
tabla como la que se muestra a continuación a modo de ejemplo:
3. Identificar / Seleccionar las Amenazas
Habiendo identificado los principales activos, el siguiente paso consiste en identificar las amenazas a las que estos están
expuestos. Tal y como imaginamos, el conjunto de amenazas es amplio y diverso por lo que debemos hacer un esfuerzo
en mantener un enfoque práctico y aplicado. Por ejemplo, si nuestra intención es evaluar el riesgo que corremos frente a
la destrucción de nuestro servidor de ficheros, es conveniente, considerar las averías del servidor, la posibilidad de daños
por agua (rotura de una cañería) o los daños por fuego, en lugar de plantearnos el riesgo de que el CPD sea destruido por
un meteorito.
Metodología MAGERIT https://www.ccn-cert.cni.es/soluciones-seguridad/ear-pilar/metodologia.html

4. Identificar Vulnerabilidades y Medidas de Seguridad
Consiste en estudiar las características de nuestros activos para identificar puntos débiles o vulnerabilidades. Por
ejemplo, una posible vulnerabilidad puede ser identificar un conjunto de ordenadores o servidores cuyo sistemas
antivirus no están actualizados o una serie de activos para los que no existe soporte ni mantenimiento por parte del
fabricante. Por otra parte, también analizaremos y documentaremos las medidas de seguridad implantadas en nuestra
organización. Por ejemplo, es posible que hayamos instalado un sistema SAI (Sistema de Alimentación Ininterrumpida) o
un Planta Energética a base de combustible para abastecer de electricidad a los equipos del Centro de Datos. Ambas
medidas de seguridad (también conocidas como salvaguardas) contribuyen a reducir el riesgo de las amenazas
relacionadas con el corte de suministro eléctrico.
Aquí intervienen los software de análisis de vulnerabilidades. (Nessus Tenable, GFI LanGuard)
5. Evaluar el Riesgo
Llegado a este punto disponemos de los siguientes elementos:
1. Inventario de activos.
2. Conjunto de amenazas a las que está expuesta cada activo.
3. Conjunto de vulnerabilidades asociadas a cada activo (si corresponde).
4. Conjunto de medidas de seguridad implantadas
Para cada par activo-amenaza, estimaremos la probabilidad de que la amenaza se materialice y el impacto sobre el
negocio que esto produciría. El cálculo de riesgo se puede realizar usando tanto criterios cuantitativos como cualitativos.
Tabla para el cálculo de la probabilidad

Tabla para el cálculo del impacto
Cálculo del riesgo
A la hora de calcular el riesgo, si hemos optado por hacer el análisis cuantitativo, calcularemos multiplicando los factores
probabilidad e impacto: RIESGO = PROBABILIDAD x IMPACTO.
Si por el contrario hemos optado por el análisis cualitativo, haremos uso de una matriz de riesgo como la que se muestra
a continuación:
6. Tratar el Riesgo
Trataremos aquellos riesgos cuyo valor sea superior a “4” o superior a “Medio” en caso de que hayamos hecho el cálculo
en términos cualitativos. A la hora de tratar el riesgo, existen cuatro estrategias principales:
Transferir el riesgo a un tercero. Por ejemplo, contratando un seguro que cubra los daños a terceros ocasionados por
fugas de información.
Eliminar el riesgo. Por ejemplo, eliminando un proceso o sistema que está sujeto a un riesgo elevado. Podríamos eliminar
la WiFi de cortesía para dar servicio a los clientes si no es estrictamente necesario.
Asumir el riesgo, siempre justificadamente. Por ejemplo, el coste de instalar una planta de generación de energía puede
ser demasiado alto y por tanto, la organización puede optar por asumir.
Implantar medidas para mitigarlo. Por ejemplo, contratando un acceso a internet de respaldo para poder acceder a los
servicios en la nube en caso de que la línea principal haya caído.

Sesión 2.1 Análisis de Riesgos PDF

Cargado por

Copyright:

Formatos disponibles

Sesión 2.1 Análisis de Riesgos PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Sesión 2.1 Análisis de Riesgos PDF

Cargado por

Copyright:

Formatos disponibles

Análisis de Riesgo

Ing. Darío González / Seguridad Computacional

Metodología MAGERIT https://www.ccn-cert.cni.es/soluciones-seguridad/ear-pilar/metodologia.html

Tabla para el cálculo de la probabilidad

También podría gustarte