UD-3 Analisis de Riesgos.pps
Document Details
Uploaded by CostSavingSagacity
Academia de Logística
Full Transcript
USO OFICIAL ACADEMIA DE LOGÍSTICA 3º EMIES ÁREA DE INFORMÁTICA MÓDULO: SEGURIDAD Y PROCEDIMIENTOS STIC - UNIDAD 3. - ANÁLISIS DE RIESGOS SUBTENIENTE JOSE LUIS RUIZ GARCÍA Calatayud, 2023/2024 USO OFICIAL INDICE • METODOLOGÍA MAGERIT V 3.0 - DEFINICIONES • ANÁLISIS DE RIESGOS - ACTIVOS AMENAZA...
USO OFICIAL ACADEMIA DE LOGÍSTICA 3º EMIES ÁREA DE INFORMÁTICA MÓDULO: SEGURIDAD Y PROCEDIMIENTOS STIC - UNIDAD 3. - ANÁLISIS DE RIESGOS SUBTENIENTE JOSE LUIS RUIZ GARCÍA Calatayud, 2023/2024 USO OFICIAL INDICE • METODOLOGÍA MAGERIT V 3.0 - DEFINICIONES • ANÁLISIS DE RIESGOS - ACTIVOS AMENAZAS RIESGOS SALVAGUARDAS DECISIÓN DEL TRATAMIENTO • HERRAMIENTA PILAR - EJERCICIO PRÁCTICO USO OFICIAL DEFINICIÓN • OBJETIVOS DE LA SEGURIDAD. Mantener la Disponibilidad de los datos almacenados, así como su disposición a ser compartidos. Contra la interrupción del servicio Mantener la Integridad de los datos . Contra las manipulaciones Mantener la Confidencialidad de los datos almacenados, procesados y transmitidos. Contra las filtraciones Asegurar la identidad de origen y destino (Autenticidad). frente a la suplantación o engaño Disponer de Trazabilidad. Para analizar, entender, perseguir y aprender USO OFICIAL DEFINICIÓN USO OFICIAL DEFINICIÓN • MAGERIT Siguiendo la terminología de la normativa ISO 31000, Magerit responde a lo que se denomina “Proceso de Gestión de los Riesgos”(“Implementación de la Gestión de los Riesgos”) dentro del “Marco de Gestión de Riesgos”. MAGERIT implementa el Proceso de Gestión de Riesgos dentro de un marco de trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información. USO OFICIAL DEFINICIÓN • RIESGO. Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios a la Organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente. Es importante saber qué características son de interés en cada activo, así como saber en qué medida estas características están en peligro, es decir, analizar el sistema • ANÁLISIS DE RIESGOS. Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una Organización. USO OFICIAL DEFINICIÓN • Modelo de valor Caracterización del valor que representan los activos para la Organización así como de las dependencias entre los diferentes activos. • Mapa de riesgos Relación de las amenazas a que están expuestos los activos. • Declaración de aplicabilidad Para un conjunto de salvaguardas, se indica sin son de aplicación en el sistema de información bajo estudio o si, por el contrario, carecen de sentido. • Evaluación de salvaguardas Evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan. • Estado de riesgo Caracterización de los activos por su riesgo residual; es decir, por lo que puede pasar tomando en consideración las salvaguardas desplegadas. USO OFICIAL DEFINICIÓN • Informe de insuficiencias Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema. Es decir, recoge las vulnerabilidades del sistema, entendidas como puntos débilmente protegidos por los que las amenazas podrían materializarse. • Cumplimiento de normativa Satisfacción de unos requisitos. Declaración de que se ajusta y es conforme a la normativa correspondiente. • Plan de seguridad Conjunto de proyectos de seguridad que permiten materializar las decisiones de tratamiento de riesgos. USO OFICIAL DEFINICIÓN • TRATAMIENTO DEL RIESGO Proceso destinado a modificar el riesgo. Hay múltiples formas de tratar un riesgo: Evitar las circunstancias que lo provocan. Reducir las posibilidades de que ocurra. Acotar sus consecuencias. Compartirlo con otra organización (típicamente contratando un servicio o un seguro de cobertura). Aceptando que pudiera ocurrir y previendo recursos para actuar cuando sea necesario. Una opción legítima es aceptar el riesgo. Es frecuente oír que la seguridad absoluta no existe; en efecto, siempre hay que aceptar un riesgo que, eso sí, debe ser conocido y sometido al umbral de calidad que se requiere del servicio. Es más, a veces aceptamos riesgos operacionales para acometer actividades que pueden reportarnos un beneficio que supera al riesgo, o que tenemos la obligación de afrontar. USO OFICIAL DEFINICIÓN • PROCESO DE GESTIÓN DE RIESGOS Las tareas de análisis y tratamiento de los riesgos no son un fin en sí mismas sino que se encajan en la actividad continua de gestión de la seguridad. El análisis de riesgos permite determinar cómo es, cuánto vale y cómo de protegido se encuentra el sistema. En coordinación con los objetivos, estrategia y política de la Organización, las actividades de tratamiento de los riesgos permiten elaborar un plan de seguridad que, implantado y operado, satisfaga los objetivos propuestos con el nivel de riesgo que acepta la Dirección. Al conjunto de estas actividades se le denomina Proceso de Gestión de Riesgos. La implantación de las medidas de seguridad requiere una organización gestionada y la participación informada de todo el personal que trabaja con el sistema de información. Es este personal el responsable de la operación diaria, de la reacción ante incidencias y de la monitorización en general del sistema para determinar si satisface con eficacia y eficiencia los objetivos propuestos. USO OFICIAL DEFINICIÓN • PROCESO DE GESTIÓN DE RIESGOS • Los sistemas de gestión de la seguridad de la información (SGSI) [ISO 27001] formalizan cuatro etapas cíclicas. El análisis de riesgos es parte de las actividades de planificación, donde se toman decisiones de tratamiento. Estas decisiones se materializan en la etapa de implantación, donde conviene desplegar elementos que permitan la monitorización de las medidas desplegadas para poder evaluar la efectividad de las mismas y actuar en consecuencia, dentro de un círculo de excelencia o mejora continua. USO OFICIAL ANÁLISIS DE RIESGOS • CONCIENCIACIÓN Y FORMACIÓN El mejor plan de seguridad se vería seriamente hipotecado sin una colaboración activa de las personas involucradas en el sistema de información, especialmente si la actitud es negativa, contraria a las medidas, o tienen la percepción de pasarse el día “luchando contra las [absurdas] medidas de seguridad”. Es por ello que se requiere la creación de una “cultura de seguridad” que, emanando de la alta dirección, conciencie a todos los involucrados de su necesidad y pertinencia. A fin de que estas actividades cuajen en la organización, es imprescindible que la seguridad sea: Mínimamente intrusiva: que no dificulte innecesariamente la actividad diaria ni hipoteque alcanzar los objetivos de productividad propuestos. Sea “natural”: que no de pie a errores gratuitos, que facilite el cumplimiento de las buenas prácticas propuestas. Practicada por la Dirección: que dé ejemplo en la actividad diaria y reaccione con presteza a los cambios e incidencias. USO OFICIAL ANÁLISIS DE RIESGOS • PASO A PASO El análisis de riesgos es una aproximación metódica para determinar el riesgo siguiendo unos pasos pautados: 1. Determinar los activos relevantes para la Organización, su interrelación y su valor, en el sentido de qué perjuicio (coste) supondría su degradación. 2. Determinar a qué amenazas están expuestos aquellos activos. 3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son frente al riesgo. 4. Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza. 5. Estimar el riesgo, definido como el impacto ponderado con la tasa de ocurrencia (o expectativa de materialización) de la amenaza. USO OFICIAL ANÁLISIS DE RIESGOS • PASO A PASO USO OFICIAL ANÁLISIS DE RIESGOS • PASO A PASO Conceptos de “impacto y riesgo potenciales” entre los pasos 2 y 3. Estas valoraciones son “teóricas”: en el caso de que no hubiera salvaguarda alguna desplegada. Una vez obtenido este escenario teórico, se incorporan las salvaguardas del paso 3, derivando estimaciones realistas de impacto y riesgo. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 1 ACTIVOS ¿Por qué interesa un activo? Por lo que vale. La valoración se puede ver desde la perspectiva de la ‘necesidad de proteger’ pues cuanto más valioso es un activo, mayor nivel de protección requeriremos en la dimensión (o dimensiones) de seguridad que sean pertinentes. El valor nuclear suele estar en la información que el sistema maneja y los servicios que se prestan (activos denominados esenciales), quedando los demás activos subordinados a las necesidades de explotación y protección de lo esencial. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 1 ACTIVOS En un sistema de información hay 2 activos esenciales: La información que maneja Los servicios que presta. Estos activos esenciales marcan los requisitos de seguridad para todos los demás componentes del sistema. Subordinados a dicha esencia se pueden identificar otros activos relevantes: Datos que materializan la información. Servicios auxiliares que se necesitan para poder organizar el sistema. Las aplicaciones informáticas (software) que permiten manejar los datos. Los equipos informáticos (hardware) y que permiten hospedar datos, aplicaciones y servicios. Los soportes de información que son dispositivos de almacenamiento de datos. El equipamiento auxiliar que complementa el material informático. Las redes de comunicaciones que permiten intercambiar datos. Las instalaciones que acogen equipos informáticos y de comunicaciones. Las personas que explotan u operan todos los elementos anteriormente citados. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 1 ACTIVOS DEPENDENCIAS Los activos esenciales son la información y los servicios prestados; pero estos activos dependen de otros activos más prosaicos como pueden ser los equipos, las comunicaciones, las instalaciones y las frecuentemente olvidadas personas que trabajan con aquellos. De manera que los activos vienen a formar árboles o grafos de dependencias donde la seguridad de los activos que se encuentran más arriba en la estructura o ‘superiores’ depende de los activos que se encuentran más abajo o ‘inferiores’. Estas estructuras reflejan de arriba hacia abajo las dependencias, mientas que de abajo hacia arriba la propagación del daño caso de materializarse las amenazas. Informalmente puede interpretarse que los activos inferiores son los pilares en los que se apoya la seguridad de los activos superiores. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 1 ACTIVOS DEPENDENCIAS Aunque en cada caso hay que adaptarse a la Organización objeto del análisis, con frecuencia se puede estructurar el conjunto de activos en capas, donde las capas superiores dependen de las inferiores: • Activos esenciales información que se maneja servicios prestados • Servicios internos que estructuran ordenadamente el sistema de información • El equipamiento informático aplicaciones (software) equipos informáticos (hardware) comunicaciones soportes de información: discos, cintas, etc. • El entorno activos que se precisan para garantizar las siguientes capas equipamiento y suministros: energía, climatización, etc. mobiliario • Los servicios subcontratados a terceros • Las instalaciones físicas • El personal usuarios operadores y administradores desarrolladores USO OFICIAL ANÁLISIS DE RIESGOS • PASO 1 ACTIVOS DEPENDENCIAS USO OFICIAL ANÁLISIS DE RIESGOS • PASO 1 ACTIVOS ¿CUANTO VALE LA “SALUD” DE LOS ACTIVOS? La valoración es la determinación del coste que supondría recuperarse de una incidencia que destrozara el activo. Hay muchos factores a considerar: Coste de reposición: adquisición e instalación. Coste de mano de obra (especializada) invertida en recuperar (el valor) del activo. Lucro cesante: pérdida de ingresos. Capacidad de operar: confianza de los usuarios y proveedores que se traduce en una pérdida de actividad o en peores condiciones económicas. Sanciones por incumplimiento de la ley u obligaciones contractuales. Daño a otros activos, propios o ajenos. Daño a personas. Daños medioambientales. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 1 ACTIVOS CRITERIOS a tener en cuenta para la valoración de activos. Homogeneidad: es importante poder comparar valores aunque sean de diferentes dimensiones a fin de poder combinar valores propios y valores acumulados, así como poder determinar si es más grave el daño en una dimensión o en otra. Relatividad: es importante poder relativizar el valor de un activo en comparación con otros activos. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 1 ACTIVOS Análisis CUANTITATIVO. Las valoraciones numéricas absolutas cuestan mucho esfuerzo; pero permiten sumar valores numéricos de forma absolutamente “natural”. La interpretación de las sumas no es nunca motivo de controversia. Si la valoración es dineraria, además se pueden hacer estudios económicos comparando lo que se arriesga con lo que cuesta la solución respondiendo a las preguntas: ¿Vale la pena invertir tanto dinero en esta salvaguarda? ¿Qué conjunto de salvaguardas optimizan la inversión? ¿En qué plazo de tiempo se recupera la inversión? ¿Cuánto es razonable que cueste la prima de un seguro? USO OFICIAL ANÁLISIS DE RIESGOS • PASO 1 ACTIVOS Análisis CUALITATIVA. Las escalas cualitativas permiten avanzar con rapidez, posicionando el valor de cada activo en un orden relativo respecto de los demás. Es frecuente plantear estas escalas como “órdenes de magnitud” y, en consecuencia, derivar estimaciones del orden de magnitud del riesgo. La limitación de las valoraciones cualitativas es que no permiten comparar valores más allá de su orden relativo. No se pueden sumar valores. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 1 ACTIVOS El valor de la interrupción del servicio. Casi todas las dimensiones mencionadas anteriormente permiten una valoración simple, cualitativa o cuantitativa. Pero hay una excepción, la disponibilidad. No es lo mismo interrumpir un servicio una hora o un día o un mes. Puede que una hora de detención sea irrelevante, mientras que un día sin servicio causa un daño moderado; pero un mes detenido suponga la terminación de la actividad. No existe proporcionalidad entre el tiempo de interrupción y las consecuencias. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 2 AMENAZAS El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo. Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño. De origen natural Del entorno (de origen industrial) Defectos de las aplicaciones Causadas por las personas de forma accidental Causadas por las personas de forma deliberada No todas las amenazas afectan a todos los activos ni a todas las dimensiones, sino que hay una cierta relación entre el tipo de activo y lo que le podría ocurrir. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 2 AMENAZAS Una vez determinado que una amenaza puede perjudicar a un activo, hay que valorar su influencia en el valor del activo, en dos sentidos: Degradación: cuán perjudicado resultaría el [valor del] activo. Cuando las amenazas no son intencionales, probablemente baste conocer la fracción físicamente perjudicada de un activo para calcular la pérdida proporcional de valor que se pierde. Pero cuando la amenaza es intencional, no se puede pensar en proporcionalidad alguna pues el atacante puede causar muchísimo daño de forma selectiva. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 2 AMENAZAS La probabilidad de ocurrencia es más compleja de determinar y de expresar. A veces se modela cualitativamente por medio de alguna escala nominal: A veces se modela numéricamente como una frecuencia de ocurrencia. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 2 AMENAZAS - IMPACTO Se denomina impacto a la medida del daño sobre el activo derivado de la materialización de una amenaza. Conociendo el valor de los activos (en varias dimensiones) y la degradación que causan las amenazas, es directo derivar el impacto que estas tendrían sobre el sistema. Impacto acumulado Es el calculado sobre un activo teniendo en cuenta Su valor acumulado (el propio mas el acumulado de los activos que dependen de él). Las amenazas a que está expuesto. El impacto acumulado se calcula para cada activo, por cada amenaza y en cada dimensión de valoración, siendo una función del valor acumulado y de la degradación causada. El impacto acumulado, al calcularse sobre los activos que soportan el peso del sistema de información, permite determinar las salvaguardas de que hay que dotar a los medios de trabajo: protección de los equipos, copias de respaldo, etc. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 2 AMENAZAS - IMPACTO Impacto repercutido Es el calculado sobre un activo teniendo en cuenta Su valor propio. Las amenazas a que están expuestos los activos de los que depende. El impacto repercutido se calcula para cada activo, por cada amenaza y en cada dimensión de valoración, siendo una función del valor propio y de la degradación causada. El impacto repercutido, al calcularse sobre los activos que tienen valor propio, permite determinar las consecuencias de las incidencias técnicas sobre la misión del sistema de información. Es pues una presentación gerencial que ayuda a tomar una de las decisiones críticas de un análisis de riesgos: aceptar un cierto nivel de riesgo. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 2 AMENAZAS - IMPACTO Agregaciones de valores de impacto Estos impactos (Acumulado /repercutido) pueden agregarse bajo ciertas condiciones: Puede agregarse el impacto repercutido sobre diferentes activos, Puede agregarse el impacto acumulado sobre activos que no sean dependientes entre sí, y no hereden valor de un activo superior común, No debe agregarse el impacto acumulado sobre activos que no sean independientes, pues ello supondría sobre ponderar el impacto al incluir varias veces el valor acumulado de activos superiores, Puede agregarse el impacto de diferentes amenazas sobre un mismo activo, aunque conviene considerar en qué medida las diferentes amenazas son independientes y pueden ser concurrentes, Puede agregarse el impacto de una amenaza en diferentes dimensiones. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 2 AMENAZAS - RIESGO RIESGO POTENCIAL Se denomina riesgo a la medida del daño probable sobre un sistema. Conociendo el impacto de las amenazas sobre los activos, es directo derivar el riesgo sin más que tener en cuenta la probabilidad de ocurrencia. El riesgo crece con el impacto y con la probabilidad, pudiendo distinguirse una serie de zonas a tener en cuenta en el tratamiento del riesgo: Zona 1 Riesgos muy probables y de muy alto impacto. Zona 2 Franja amarilla: cubre un amplio rango desde situaciones improbables y de impacto medio, hasta situaciones muy probables pero de impacto bajo o muy bajo. Zona 3 Riesgos improbables y de bajo impacto. Zona 4 Riesgos improbables pero de muy alto impacto USO OFICIAL ANÁLISIS DE RIESGOS • PASO 2 AMENAZAS - RIESGO RIESGO ACUMULADO El impacto acumulado sobre un activo debido a una amenaza. La probabilidad de la amenaza. El riesgo acumulado, al calcularse sobre los activos que soportan el peso del sistema de información, permite determinar las salvaguardas de que hay que dotar a los medios de trabajo: protección de los equipos, copias de respaldo, etc. RIESGO REPERCUTIDO El impacto repercutido sobre un activo debido a una amenaza. La probabilidad de la amenaza. El riesgo repercutido, al calcularse sobre los activos que tienen valor propio, permite determinar las consecuencias de las incidencias técnicas sobre la misión del sistema de información. Es pues una presentación gerencial que ayuda a tomar una de las decisiones críticas de un análisis de riesgos: aceptar un cierto nivel de riesgo. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 3 SALVAGUARDAS Se definen las salvaguardas o contra medidas como aquellos procedimientos o mecanismos tecnológicos que reducen el riesgo. Selección de salvaguardas: Tipo de activos a proteger, pues cada tipo se protege de una forma específica. Dimensión o dimensiones de seguridad que requieren protección. Amenazas de las que necesitamos protegernos. Si existen salvaguardas alternativas Además, es prudente establecer un principio de proporcionalidad y tener en cuenta: El mayor o menor valor propio o acumulado sobre un activo, centrándonos en lo más valioso. La mayor o menor probabilidad de que una amenaza ocurra, centrándonos en los riesgos más importantes (ver zonas de riesgo). La cobertura del riesgo que proporcionan salvaguardas alternativas. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 3. SALVAGUARDAS USO OFICIAL ANÁLISIS DE RIESGOS • PASO 3. TIPOS SALVAGUARDAS [PR] prevención Una salvaguarda es preventiva cuando reduce las oportunidades de que un incidente ocurra. Si la salvaguarda falla y el incidente llega a ocurrir, los daños son los mismos. Ejemplos: autorización previa de los usuarios, gestión de privilegios…. [DR] disuasión Una salvaguarda es disuasoria cuando tiene un efecto tal sobre los atacantes que estos no se atreven o se lo piensan dos veces antes de atacar. Son salvaguardas que actúan antes del incidente, reduciendo las probabilidades de que ocurra; pero que no tienen influencia sobre los daños causados caso de que el atacante realmente se atreva (guardias de seguridad, carteles…). USO OFICIAL ANÁLISIS DE RIESGOS • PASO 3. TIPOS SALVAGUARDAS [EL] eliminación Una salvaguarda elimina un incidente cuando impide que éste tenga lugar. Son salvaguardas que actúan antes de que el incidente se haya producido. No reducen los daños caso de que la salvaguarda no sea perfecta y el incidente llegue a ocurrir. Ejemplos: eliminación de cuentas estándar, de cuentas sin contraseña, cifrado… [IM] minimización del impacto / limitación del impacto Una salvaguarda minimiza o limita el impacto cuando acota las consecuencias de un incidente. Ejemplos: desconexión de redes o equipos en caso de ataque, seguros de cobertura, cumplimiento de la legislación vigente. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 3. TIPOS SALVAGUARDAS [CR] corrección Es correctiva cuando, habiéndose producido un daño, lo repara. Son salvaguardas que actúan después de que el incidente se haya producido y por tanto reducen los daños. Ejemplos: gestión de incidentes, líneas de comunicación alternativas…. [RC] recuperación Una salvaguarda ofrece recuperación cuando permite regresar al estado anterior al incidente. No reducen las probabilidades del incidente, pero acotan los daños a un periodo de tiempo. Ejemplos: copias de seguridad (back-up). USO OFICIAL ANÁLISIS DE RIESGOS • PASO 3. TIPOS SALVAGUARDAS [MN] monitorización Trabajan monitorizando lo que está ocurriendo o lo que ha ocurrido. Si se detectan cosas en tiempo real, podemos reaccionar atajando el incidente para limitar el impacto; Si se detectan cosas a posteriori, podemos aprender del incidente y mejorar el sistema de salvaguardas de cara al futuro. Ejemplos: registros de actividad, de descargas web, DLP. [DC] detección Funcionan detectando un ataque que está ocurriendo. Aunque no impide el ataque, sí permite que entren en operación otras medidas que atajen la progresión del ataque, minimizando daños. Ejemplos: anti-virus, IDS, detectores de incendios. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 3. TIPOS SALVAGUARDAS [AW] concienciación Son las actividades de formación de las personas anexas al sistema que pueden tener una influencia sobre él. La formación reduce los errores de los usuarios, lo cual tiene un efecto preventivo. También mejora las salvaguardas de todo tipo pues los que las operan lo hacen con eficacia y rapidez, potenciando su efecto o, al menos, no menoscabándolo por una mala operación. Ejemplos: cursos de concienciación, cursos de formación, ... [AD] administración salvaguardas relacionadas con los componentes de seguridad del sistema. Ejemplos: inventario de activos, análisis de riesgos, plan de continuidad. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 3. TIPOS SALVAGUARDAS USO OFICIAL ANÁLISIS DE RIESGOS • PASO 3. EFICACIA SALVAGUARDAS La salvaguarda ideal es 100% eficaz, eficacia que combina 2 factores: Técnico. es técnicamente idónea para enfrentarse al riesgo que protege. se emplea siempre. Desde el punto de vista de operación de la salvaguarda. Está perfectamente desplegada, configurada y mantenida. Existen procedimientos claros de uso normal y en caso de incidencias. Los usuarios están formados y concienciados. Existen controles que avisan de posibles fallos. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 4 /5 . IMPACTO - RIESGO LISTA DE CONTROL. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 4 /5 . IMPACTO - RIESGO El análisis de riesgos determina impactos y riesgos. Los impactos recogen daños absolutos, independientemente de que sea más o menos probable que se dé la circunstancia. El riesgo pondera la probabilidad de que ocurra. El impacto refleja el daño posible (lo peor que puede ocurrir), mientras que el riesgo refleja el daño probable (lo que probablemente ocurra). USO OFICIAL ANÁLISIS DE RIESGOS • PASO 4 /5 . CRITERIOS Múltiples aspectos relacionados con los riesgos son objeto de estimaciones. Conviene que las estimaciones sean lo más objetivas que sea posible o al menos, que sean repetibles, explicables y comparables. En particular conviene establecer escalas de valoración para: Valorar los requisitos de seguridad de la información. Valorar los requisitos de disponibilidad de los servicios. Estimar la probabilidad de una amenaza. Estimar las consecuencias de un incidente de seguridad. Estimar el nivel de riesgo a partir de las estimaciones de impacto y probabilidad. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 4 /5 . CRITERIOS Múltiples aspectos relacionados con los riesgos son objeto de estimaciones. Conviene que las estimaciones sean lo más objetivas que sea posible o al menos, que sean repetibles, explicables y comparables. Hay que establecer reglas y/o criterios para tomar decisiones de tratamiento: Umbrales de impacto. Umbrales de probabilidad. Umbrales combinados de impacto y probabilidad . Umbrales de nivel de riesgo. Impacto en la reputación de la Organización o de las personas responsables. Impacto en la posición de competencia. Impacto comparado con otras áreas de riesgo: financiero, regulatorio, medioambiental, seguridad industrial, etc. Combinaciones o concurrencia de riesgos que pudieran tener un efecto combinado. Amenazas especialmente sensibles (puede ser por motivos técnicos, porque adolecen de una amplia incertidumbre o porque su ocurrencia causaría una notable alarma social con grave daño para la reputación o la continuidad de las operaciones de la Organización, incluso si sus consecuencia técnicas o materiales son modestas) Valorar los requisitos de seguridad de la información. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 4 /5 . DECISIÓN DEL TRATAMIENTO Se pueden tomar las diferentes opciones. Hay múltiples formas de reducir el riesgo: Eliminar el riesgo eliminando sus causas: información tratada, servicios prestados, arquitectura del sistema. Reducir o limitar el impacto. Reducir la probabilidad de que la amenaza ocurra. En el caso de amenazas derivadas de defectos de los productos (vulnerabilidades técnicas): reparar el producto (por ejemplo, aplicar los parches del fabricante). Implantar nuevas salvaguardas o mejorar la calidad de las presentes. Externalizar partes del sistema. Contratar seguros de cobertura. USO OFICIAL ANÁLISIS DE RIESGOS • PASO 4 /5 . DECISIÓN DEL TRATAMIENTO Se pueden tomar las diferentes opciones. A veces la decisión consiste en aceptar un incremento del riesgo: Aceptando trabajar con nueva información o prestar nuevos servicios. Alterando la arquitectura del sistema. Reduciendo las salvaguardas presentes. Reduciendo la calidad de las salvaguardas presentes (es decir, dedicando menos recursos). USO OFICIAL USO OFICIAL ACADEMIA DE LOGÍSTICA 3º EMIES ÁREA DE INFORMÁTICA MÓDULO: SEGURIDAD Y PROCEDIMIENTOS STIC - UNIDAD 3. - ANÁLISIS DE RIESGOS SUBTENIENTE JOSE LUIS RUIZ GARCÍA Calatayud, 2023/2024 USO OFICIAL
