Análisis de riesgos
-
Upload
alexander-velasque -
Category
Technology
-
view
7.418 -
download
2
Transcript of Análisis de riesgos
![Page 1: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/1.jpg)
Análisis de Riesgos
Universidad Nacional Federico VillarrealFacultad de Ingeniería Industrial y de Sistemas
Escuela de Ingeniería de Sistemas
![Page 2: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/2.jpg)
Integrantes
CASACHAHUA MEDINA, JOSÉ
RODOLFO ALBERTO
FLORIAN ARTEAGA, ED
UARDO MIGUEL
GONZALES BERNAL, JAIR
ANTONIO
GARCÍA MORAUSKY,
CESAR RICARDO
BENITEZ PEREYRA, PAUL FRANCISCO E.
![Page 3: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/3.jpg)
También debemos tener en cuenta que cada día va en aumentola cantidad de casos de incidentes relacionados conla seguridad de los sistemas de información que comprometenlos activos de las empresas.
Lo que antes era ficción, en la actualidad se convierte, enmuchos casos, en realidad. Las amenazas siempre hanexistido, la diferencia es que ahora, el enemigo es más rápido,más difícil de detectar y mucho más atrevido.
Es por esto, que toda organización debe estar en alerta y saberimplementar sistemas de seguridad basados enanálisis de riesgos para evitar o minimizar las consecuenciasno deseadas.
![Page 4: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/4.jpg)
¿Qué es el análisis de riesgos?
En pocas palabras el análisis o evaluación de riesgos
informáticos es un proceso que engloba la identificación de
activos informáticos, sus vulnerabilidades y amenazas a los que
se encuentran expuestos así como su probabilidad de ocurrencia
y el impacto de las mismas, a fin de determinar los controles
adecuados para aceptar, disminuir, transferir o evitar la
ocurrencia del riesgo, además que es el primer paso de la
seguridad informática.
![Page 5: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/5.jpg)
¿Qué acciones incluye este análisis de riesgos?
• Identificación de los activos• Identificación de los requisitos legales y de negocios que son
relevantes para la identificación de los activos• Valoración de los activos identificados• Teniendo en cuenta los requisitos legales identificados de negocios y
el impacto de una pérdida de confidencialidad, integridad ydisponibilidad.
• Identificación de las amenazas y vulnerabilidades importantes paralos activos identificados.
• Evaluación del riesgo, de las amenazas y las vulnerabilidades aocurrir.
• Cálculo del riesgo.• Evaluación de los riesgos frente a una escala de riesgos
preestablecidos.
![Page 6: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/6.jpg)
![Page 7: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/7.jpg)
Dispositivo CK3 es una tecnología móvil que se usa
como plataforma para la aplicación web del sistema
de trazabilidad de una compañía de gaseosas el cual
es usado por los operarios en las plantas para
registrar cada paleta de productos fabricados en
planta como también los jefes de almacén para
registrar y controlar las entradas y salidas de las
paletas del almacén tanto en la planta como en los
CDA’s.
![Page 8: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/8.jpg)
Usuarios:
Cuando los operarios quieren registrar dos paletas a la vezsin esperar que el primer registro se cargue, esto ocasionaque se congele el aplicativo por lo cual se genera unainterrupción.
Cuando los operarios dejan caer el dispositivo provocandouna falla de hardware el cual implica su inoperancia paratrabajar en el entorno web esto genera una interrupción.
Cuando el operador no cambia de batería a pesar de laindicación de la señal de carga del dispositivo, esto provocauna des configuración del dispositivo, la cual provoca unainterrupción.
![Page 9: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/9.jpg)
Programación:
Cuando hay una extensión de la producción de un productopor requerimiento del área comercial conjuntamente con losCDA’s esto en el aplicativo genera un error por exceso depaletas es decir que el aplicativo no es flexible a este caso y segenera una interrupción.
Servicios de comunicación:
Cuando un elemento de red presenta fallas produciendoproblemas en la conexión entre el servidor del aplicativo webcon el dispositivo móvil de una área de la planta esto generauna interrupción.
![Page 10: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/10.jpg)
1. Consecuencias de la interrupción del servicio En el
negocio:
Una interrupción del servicio de base de datos,
aplicativo web, elementos de red o comunicación y
otros recursos de TI generaría:
Pérdida de rentabilidad.
Pérdida de cuota de mercado.
Mala imagen de marca.
![Page 11: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/11.jpg)
2. Cuánto se puede esperar a restaurar el servicio sin que
tenga un alto impacto en los procesos de negocio:
![Page 12: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/12.jpg)
VULNERABILIDAD
En seguridad informática, la palabra vulnerabilidad hace
referencia a una debilidad en un sistema permitiendo a un
atacante violar la
confidencialidad, integridad, disponibilidad, control de
acceso y consistencia del sistema o de sus datos y
aplicaciones.
![Page 13: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/13.jpg)
Desbordes de pila y otros buffers.
Errores en la validación de entradas como: inyección
SQL, BUG en el formato de cadenas, etc.
Secuestro de sesiones.
Ejecución de código remoto(RFI) y XSS.
![Page 14: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/14.jpg)
![Page 15: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/15.jpg)
![Page 16: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/16.jpg)
![Page 17: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/17.jpg)
![Page 18: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/18.jpg)
![Page 19: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/19.jpg)
![Page 20: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/20.jpg)
PROBLEMA
Una clínica cuenta con una BD que
contiene aprox. 1000 registros sobre
sus pacientes
El servidor de aplicaciones que accede
a esta BD se encuentra en un DMZ
Los datos de transferencia, así como
los contenidos en la BD no estaban
encriptados
La aplicación es vulnerable a un SQL
Injection.
La base de datos puede almacenar
desde 10000 a 500000 registros
![Page 21: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/21.jpg)
![Page 22: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/22.jpg)
![Page 23: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/23.jpg)
Se observa el impacto del problema recae sobre
Reputación de la institución
El tipo de ataque es simple y una vez descubierta la
vulnerabilidad puede seguir siendo realizado
El alto número de registros confidenciales perdidos
(Pueden llegara a 500000)
![Page 24: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/24.jpg)
Las pérdidas monetarias en reposiciones, asciende a
$15000000.
De todos estos casos se puede concluir que el impacto
sobre la empresa es ALTO.
![Page 25: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/25.jpg)
La consultora en procesos de negocio de IT “E-STRATEGA”
es una de las consultoras de mayor prestigio en Latinoamérica.
Estudia todo lo referido a la gestión de procesos de negocio y
las buenas prácticas que se deben seguir en cada etapa de sus
actividades relacionadas a la
planificación, operación, seguridad entre otros aspectos.
Para ellos hace uso de una serie de metodologías que se
enmarcan en distintos ambientes., entre ellas tenemos el RISK
IT
![Page 26: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/26.jpg)
![Page 27: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/27.jpg)
1
• Es un modelo para la identificación, gobierno y gestión de los riesgos de TI que afectan al
negocio.
2
• Busca abordar exitosamente el análisis y la gestión de riesgos de TI en general de
punta a punta, capitalizar las inversiones en el sistema de control interno de ti.
3• Promover la responsabilidad por la gestión de riesgos de TI en toda la organización.
4• Mejorar la utilización de recursos a partir del perfil de riesgo asociado.
5
• Promueve una metodología para la respuesta y priorización de los riesgos de TI detal forma de que sea posible equilibrarlos con el nivel de tolerancia de laorganización.
![Page 28: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/28.jpg)
![Page 29: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/29.jpg)
• Alerta temprana1
• Opinión retrospectiva2
• Facilitar la documentación y el análisis de tendencias3
4
5
6
• Indicadores
• Aumentar la probabilidad de alcanzar
los objetivos de la empresa
• Ayudar continuamente a la optimización de la gestión de riesgo y del entorno.
![Page 30: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/30.jpg)
Metodología MAGERIT
![Page 31: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/31.jpg)
![Page 32: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/32.jpg)
Objetivo
Concienciar a los responsables de los sistemas de
información de la existencia de riesgos y de la necesidad
de atajarlos a tiempo.
Preparar a la Organización para procesos de
evaluación, auditoría, certificación o acreditación, según
corresponda en cada caso.
Finalidad
MAGERIT es un instrumento para facilitar la implantación y aplicación del Esquema Nacional de Seguridad
proporcionando los principios básicos y requisitos mínimos para la protección adecuada de la información.
Resumen
La Metodología MAGERIT, es un método formal para investigar los riesgos que soportan los Sistemas de Información
y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.
![Page 33: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/33.jpg)
Riesgo Intrínseco
Es el estudio que se realiza sin tener consideración las diferentes medidas
de seguridad que ya están implementadas en una organización.
Riesgo residual
Es el estudio que se realiza teniendo en consideración las medidas de seguridad que la organización ya
tiene implementadas.
Amenazas
Las amenazas son los eventos que pueden desencadenar un incidente en la organización, produciendo daños
materiales o perdidas inmateriales en sus activos.
Vulnerabilidad
En si mismo no causa daño, es una condición o un conjunto de
condiciones que pueden permitir a una amenaza afectar a un activo
Definiciones
![Page 34: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/34.jpg)
![Page 35: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/35.jpg)
![Page 36: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/36.jpg)
![Page 37: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/37.jpg)
![Page 38: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/38.jpg)
![Page 39: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/39.jpg)
![Page 40: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/40.jpg)
![Page 41: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/41.jpg)
• Toda medida de seguridad de riesgos enmarcada en un sistema generalde gestión de seguridad debe estar debidamente expresada en una seriede etapas entre las cuales tenemos el análisis de los riesgos como una delas primeras y más importantes fases para la implantación de una óptimamedida de seguridad de la información ya que nos brinda todos aquelloselementos que nos permitirán medir, pronosticar y resolver problemas afuturo mediante uso de indicadores entre otros recursos.
1º Conclusión
• Un análisis de riesgos considera el rango de consecuenciaspotenciales y que tan probable es que ocurran esasconsecuencias para así elaborar un plan de prevención yrecuperación que haga frente a estos riegos.
2º Conclusión
• Las vulnerabilidades se descubren muy seguido en grandes sistemas, y elhecho de que se publiquen rápidamente por todo internet (mucho antes deque exista una solución al problema), es motivo de debate. Mientras másconocida se haga una vulnerabilidad, más probabilidades de que existan
piratas informáticos que quieren aprovecharse de ellas.3º Conclusión
• La estimación cualitativa y cuantitativa, son complementarias ydeben darse siempre en el análisis de riesgos para comprender elimpacto total que puede ocasionar un siniestro para nuestroproyecto.
4º Conclusión
![Page 42: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/42.jpg)
Todas las organizaciones deben tener en cuenta que existe una serie de metodologías,herramientas, procedimientos y software que nos permiten establecer un adecuado plande análisis de los posibles riesgos que podamos sufrir como empresa en un determinadosector del mercado, centrándonos en las tecnologías de información y todas lasamenazas que existen en su entorno.
Para cada proyecto, es importante identificar los activos afectados ensituaciones de riesgo, para así determinar qué tipo de estimación(Cualitativa o cuantitativa) es pertinente de realizar para entender el
impacto que los desastres tienen sobre estos.
Para tener una correcta gestión de riesgos se necesita tener un buen análisisde riesgos el cual me permita desarrollar un buen plan de prevención yrecuperación antes los riesgos supuestos.
Las vulnerabilidades en las aplicaciones suelen corregirse conparches, hotfixs o con cambios de versión. En tanto algunas otras requierenun cambio físico en un sistema informático.
![Page 43: Análisis de riesgos](https://reader033.fdocuments.ec/reader033/viewer/2022060202/559c1ac41a28ab32598b4810/html5/thumbnails/43.jpg)