Tema 4. ANÁLISIS Y GESTIÓN DE RIESGOS

MANTENIMIENTO DE LA SEGURIDAD EN SISTEMAS INFORMÁTICOS

1. ANÁLISIS GESTIÓN DE RIESGOS EN UN SISTEMA INFORMÁTICO.

2. RECURSOS DEL SISTEMA.

3. AMENAZAS.

4. VULNERABILIDADES.

5. INCIDENTES DE SEGURIDAD.

6. IMPACTOS.

7. RIESGOS.

8. DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD.

9. HERRAMIENTAS DE ANÁLISIS Y GESTIÓN DE RIESGOS.

10. TRANSFERENCIA DEL RIESGO A TERCEROS.

11. DIRECCIONES DE INTERÉS.

1. ANÁLISIS Y GESTIÓN DE RIESGOS EN UN SISTEMA INFORMÁTICO

Profesor : Miguel Ángel Martín Martínez2

Un proceso de gestión de riesgos debe tener una etapa de evaluaciónprevia y debe de realizarse con rigor y objetividad para que cumpla con susfunciones con garantías.Se tiene que definir un plan para implantación de contramedidas,permitan disminuir la posibilidad de que se lleve a cabo una amenaza oreducir la vulnerabilidad y permita la recuperación del sistema o latransferencia del problema a un tercero.

2. RECURSOS DEL SISTEMA

Profesor : Miguel Ángel Martín Martínez3

Los recursos son los activos a proteger del sistema informático. Puedenser clasificados en:

1. Datos. Cada tipo de dato merece un estudio independiente de riesgo,en función de la importancia en caso de deterioro o perdida.

2. Software. Constituido por los sistemas operativos y el conjunto deaplicaciones instaladas en los equipos.

3. Hardware. Constituido por los equipos que contienen las aplicacionesy permiten su funcionamiento a la vez que almacenan los datos.

4. Redes. Desde las redes locales de la empresa hasta lasmetropolitanas o internet. Representan la vía de comunicación ytransmisión de datos.

5. Soportes. Los lugares en donde la información queda registrada yalmacenada durante largos períodos o de forma permanente.

6. Instalaciones. Son los lugares donde se encuentran los sistemas deinformación y comunicaciones.

7. Personal. Conjunto de personas que interactúan con el sistema deinformación.

8. Servicios. Lo que ofrece a clientes o usuarios.

3. AMENAZAS

Profesor : Miguel Ángel Martín Martínez4

Definición: presencia de uno o más factores de diversa índole (personas,máquinas o sucesos) que de tener la oportunidad atacarían al sistemaproduciéndole daños. En función del tipo de alteración, daño ointervención que podrían producir sobre la información, se puedenclasificar en 4 grupos:

1. De interrupción. El objetivo de la amenaza es deshabilitar el acceso a la información.2. De interceptación. Personas, programa o equipos no autorizados podrían acceder a

un determinado recurso del sistema y obtener información confidencial.3. De modificación. Personas, programas o equipos no autorizados no solamente

accederían a los programas y datos de un sistema sino que además los modificarían.4. De fabricación. Agregarían información falsa a la información guardada en el

sistema.

Según su origen las amenazas se clasifican en:1. Accidentales. Accidentes meteorológicos, incendios, inundaciones, fallos en los

equipos, en las redes, en los sistemas operativos o en el software, errores humanos.2. Intencionadas. Son debidas siempre intervención humana, como la introducción de

malware, robos o hurtos. Pueden tener su origen en el exterior o incluso en el personalde la empresa

4. VULNERABILIDADES

Profesor : Miguel Ángel Martín Martínez 5

Probabilidades que existen de que una amenaza se materialice contra unactivo. No todos los activos son vulnerables a las mismas amenazas. Alhacer el análisis de riesgos hay que tener en cuenta la vulnerabilidad decada activo.

Cualquier evento que tenga o pueda tener como resultado la interrupciónde los servicios suministrados por un sistema informático, o acceso aellos. Se considera materialización de una amenaza.

Son la consecuencia de la materialización de una o más amenazas sobreuno o varios activos aprovechando la vulnerabilidad del sistema o, esdecir, el daño causado.Los impactos pueden ser cuantitativos, si los daños pueden cuantificarseeconómicamente, o cualitativos, si los daños no son cuantificables.

5. INCIDENTES DE SEGURIDAD

6. IMPACTOS

7. RIESGOS

Profesor : Miguel Ángel Martín Martínez6

Definición: posibilidad de que se materialice o no una amenazaaprovechando una vulnerabilidad. Ante un riesgo se puede actuar de tresformas distintas:

1. Asumirlo sin hacer nada. Cuando el perjuicio no tiene valor alguno o elcoste de la aplicación de medidas superaría a la reparación del daño.

2. Aplicar medidas para disminuirlo o anularlo.3. Transferir el problema a un tercero.

Caso Práctico: Ver enunciado en http://academiaarma/moodle