Systems Security 1.- Introduccion
July 11, 2016 | Author: 53n3k4 | Category: N/A
Short Description
Introduccion analisis de riesgos...
Description
SYSTEMS SECURITY
INTRODUCCIÓN
SYSTEMS SECURITY
ÍNDICE Gestión de Seguridad
Definicines básicas Gestión del Riesgo y Gobernanza Tipos de Riesgo y origen
Análisis de Riesgos. Modelo y valoración
INTRODUCCIÓN
PAG.
2
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIONES BÁSICAS.- GESTIÓN DE SEGURIDAD Gestión de la Seguridad de la Información: proceso por el cual la Organización define, alcanza y mantiene unos niveles apropiados de confidencialidad, integridad, disponibilidad, trazabilidad y autenticidad para la información que necesita para operar. Aspectos principales: •
Determinar los objetivos, estrategias y políticas de Seguridad de la Información.
•
Determinar los requerimientos de Seguridad de la Información.
•
Identificar y analizar las amenazas y las vulnerabilidades de los Activos de Información.
•
Identificar y analizar los riesgos de seguridad.
•
Especificar salvaguardas adecuadas teniendo en cuenta las amenazas, vulnerabilidades y riesgos identificados.
•
Supervisar la implementación y el funcionamiento de las salvaguardas especificadas.
•
Asegurar la concienciación de todo el personal en materia de Seguridad de la Información.
•
Detectar los posibles incidentes de seguridad y reaccionar ante ellos.
3
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIONES BÁSICAS.- GESTIÓN DE SEGURIDAD Resultados encuestas/tendencias:: •
Crecimiento de los incidentes provocados por el propio personal de la Organización, no por externos, que hacen ineficaces las medidas establecidas para proteger de los ataques procedentes del exterior por sí solas.
•
Crecimiento de los ataques con motivación puramente económica, que conduce a una profesionalización de los atacantes, cada ver más organizados con personas especializadas en la ejecución de las diferentes fases y tareas.
•
Los ataques se vuelven con ello más complejos abarcando el aprovechamiento de debilidades no sólo tecnológicas, sino también operativas, ingeniería social, etc.
•
·Crecimiento de los ataques diseñados específicamente para atacar objetivos determinados. La difusión de kits que permiten realizar ataques sofisticados a personas sin conocimientos tecnológicos elevados permite que el número de ataques dirigidos aumente.
•
Un volumen significativo de pérdidas se debe a debilidades no tecnológicas, como el robo o la pérdida de soportes de información o el abuso de privilegios por parte de usuarios de sistemas de información.
•
Aproximadamente la mitad de las Organizaciones encuestadas indica que ha sufrido al menos un incidente de seguridad de la información durante el último año.
•
Aumenta el número de ataques de día 0, que se producen antes de que se publique la existencia de la debilidad explotada. Esto supone la necesidad de establecer una disciplina de seguridad que proteja no sólo de las debilidades conocidas, sino también de las que puedan existir sin conocerse. Asimismo, supone la necesidad de reaccionar con presteza ante la publicación de nuevas debilidades, puesto que podrían estar ya siendo explotadas en ese momento.
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIONES BÁSICAS.- RIESGO
RIESGO El riesgo se define como la combinación de la probabilidad de que se produzca un evento y sus consecuencias negativas. Medida de la magnitud de los daños frente a una situación peligrosa Consecuencias: Pérdida de ingresos
Pérdida de ventaja competitiva Penalizaciones legales
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIONES BÁSICAS.- RIESGO Componentes del RIESGO
Amenaza es un fenómeno, sustancia, actividad humana o condición peligrosa que puede ocasionar la muerte, lesiones u otros impactos a la salud, al igual que daños a la propiedad, la pérdida de medios de sustento y de servicios, trastornos sociales y económicos, o daños ambientales. La amenaza se determina en función de la intensidad y la frecuencia.
Vulnerabilidad son las características y las circunstancias de una comunidad, sistema o bien que los hacen susceptibles a los efectos dañinos de una amenaza.
RIESGO = AMENAZA x VULNERABILIDAD
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIONES BÁSICAS.- RIESGO Factores que componen la VULNERABILIDAD Exposición es la condición de desventaja debido a la ubicación, posición o localización de un sujeto, objeto o sistema expuesto al riesgo. Susceptibilidad es el grado de fragilidad interna de un sujeto, objeto o sistema para enfrentar una amenaza y recibir un posible impacto debido a la ocurrencia de un evento adverso. Resiliencia es la capacidad de un sistema, comunidad o sociedad expuestos a una amenaza para resistir, absorber, adaptarse y recuperarse de sus efectos de manera oportuna y eficaz, lo que incluye la preservación y la restauración de sus estructuras y funciones básicas. VULNERABILIDAD = EXPOSICIÓN x SUSCEPTIBILIDAD / RESILIENCIA
SYSTEMS SECURITY
INTRODUCCIÓN
DEFINICIONES BÁSICAS.- RIESGO DISTINCIONES IMPORTANTES RIESGO vs PELIGRO RIESGO vs AMENAZA SUSCEPTIBILIDAD vs PROBABILIDAD RIESGO NO IMPLICA NECESARIAMENTE PERDIDA
PAG.
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIONES BÁSICAS.- RIESGO Universo de riesgos existente: virtualmente infinito Consecuencia: infinitas medidas de protección
¡¡IMPOSIBLE!! Necesidad de herramientas que posibiliten seleccionar y mitigar un conjunto limitado de riesgos
CONFIABILIDAD
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIONES BÁSICAS.- RIESGO Esta herramienta es el ANALISIS DE RIESGOS, permite Identificar Clasificar y Valorar los eventos que pueden amenazar la consecución de los objetivos de la Organización y establecer las medidas oportunas para reducir el impacto esperable hasta un nivel tolerable. tolerancia al riesgo: cantidad de riesgo que una Organización es capaz de gestionar. apetito de riesgo: cantidad de riesgo que una Organización está dispuesta a gestionar para
lograr los objetivos establecidos.
Simplificando el escenario: LINEA BASE DE SEGURIDAD
SYSTEMS SECURITY
DEFINICIONES BÁSICAS.- RIESGO
INTRODUCCIÓN
PAG.
SYSTEMS SECURITY
DEFINICIONES BÁSICAS.- RIESGO
INTRODUCCIÓN
PAG.
SYSTEMS SECURITY
DEFINICIONES BÁSICAS.- RIESGO
INTRODUCCIÓN
PAG.
SYSTEMS SECURITY
DEFINICIONES BÁSICAS.- RIESGO
INTRODUCCIÓN
PAG.
SYSTEMS SECURITY
INTRODUCCIÓN
DEFINICIONES BÁSICAS.- GESTIÓN DEL RIESGO Riesgos
Riesgo de seguridad • Cyber Crimen
• Fraude interno • Cyber terrorismo
Otros Riesgos
• • • •
Riesgo de mercado Riesgo de crédito Riesgo de tasa de interés Riesgo de moneda
Riesgo Operacional
Riesgos No de IT
• • • •
Procesos de negocio Personas y capacidades Medio ambiente Infraestructura física
Riesgos de IT
Riesgo de disponibilidad
Riesgo de rendimiento
Riesgo de escalabilidad
• Cambios de configuración
• Arq. distribuidas
• Falta de redundancia
• Cuellos de botella • Diversidad tecnológica • Arquitecturas obsoletas
• Errores humanos
• Picos de demanda
• Crecimiento del negocio
Riesgo de recuperación • Fallas de hardware y/o software • Amenazas externas • Desastres naturales
Riesgo de cumplimiento • • • •
Regulaciones
Políticas corporativas Leyes Política interna
PAG.
SYSTEMS SECURITY
DEFINICIONES BÁSICAS.- GOBERNANZA
INTRODUCCIÓN
PAG.
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIONES BÁSICAS.- GESTIÓN DE RIESGOS - ORIGEN Los riesgos inherentes a la entidad abarcan los provenientes de: • Los recursos humanos. Tales como diferencias con los empleados o dependencias de personas clave para la organización, clima social en la compañía y política social, y exposición al riesgo de conflictos con los sindicatos o los representantes de los empleados. • La regulación. Los requisitos regulatorios suponen un riesgo creciente: es necesario identificar y gestionar las obligaciones de cumplimiento normativo, especialmente en sectores como el financiero, seguros, u hospitalario. Esta gestión dependerá mucho del modelo de negocio o de los países en los que la organización se encuentre. • Los clientes. Se torna necesaria la identificación de los puntos de conflicto con clientes, de las áreas de la compañía más expuestas al fallo en el servicio al cliente, e, incluso, de los tipos más significativos de riesgo reputacional. • El entorno. En él se encuadran las situaciones de riesgo más relevantes relacionadas con agentes externos (tormentas, inundaciones, terremotos, pandemias etc.).
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIONES BÁSICAS.- GESTIÓN DE RIESGOS - ORIGEN Dentro de los riesgos de los procesos de una organización, se podrían incluir: • Fraude interno y externo. Sería necesario identificar los procesos expuestos al fraude externo basándonos en la experiencia histórica y en entrevistas con los responsables del proceso de negocio; del mismo modo, habría que identificar los procesos susceptibles de fraude interno, como por ejemplo la venta de información confidencial, relaciones con los proveedores, etc. • Pérdidas generadas por una interrupción del negocio. Sería necesario identificar los procesos expuestos a una interrupción del servicio, es decir aquellos procesos para los cuales una interrupción puede suponer una pérdida financiera por el abandono del servicio al cliente o incluso por penalizaciones por incumplimiento de pagos o por violación de regulaciones. Este análisis se suele realizar usualmente en el marco de la disciplina de continuidad de negocio. • Pérdidas generadas por errores en la ejecución. Sería necesario identificar las causas más usuales de error en relación con la complejidad y la automatización del proceso: errores humanos, fallos en la integridad TI... Los procesos en los que estos errores podrían impactar son los de pagos, desarrollo de productos financieros y aquellos con fechas de entrega obligatorias.
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIONES BÁSICAS.- GESTIÓN DE RIESGOS - ORIGEN Por último, los riesgos relacionados con la estrategia incluyen: • La gestión del cambio. La innovación y la política de gestión del cambio son parámetros que conducen a la exposición al riesgo. Sería por tanto necesario identificar en una organización como factores de riesgo los nuevos proyectos de TI relativos a cambios significativos o a la implementación de nuevos sistemas, el lanzamiento de productos y la adquisición de compañías. • La política de outsourcing/offshoring. Las decisiones de externalización de las partes no esenciales del negocio para beneficiarse de economías de escala conducen a nuevos riesgos como la exposición a la ejecución de errores de los proveedores de servicio, a su salud financiera, al riesgo de exponer información confidencial a terceros o los derivados de un plan inadecuado de continuidad de negocio del proveedor.
Este riesgo es muy importante por la naturaleza tecnológica en la prestación de los servicios. Crédito Mercado
Apertura de los componentes
Infraestructura Seguridad TI/SI
Liquidez Tasa de interés
Gestión/Control
Transferencia
Auditoría
Legal
Integridad
Reputación Estratégico Operacional
Continuidad Proveedores
Algunas causas de riesgo
Infraestructura
Falta de integración entre heredados y los emergentes,
Seguridad TI/SI
Escasa flexibilidad a crecimiento o a la demanda,
Gestión/Control Auditoría Integridad Continuidad Proveedores
sistemas
Falta de interoperabilidad entre sistemas propios y de los de terceros, Hardware sub-dimensionado dimensionado,
o
los sobre
Retraso en los procesos, Tecnología de poca adaptabilidad, Sistemas operativos de poca estabilidad,
Tecnología obsoleta, Leguajes de programación poco flexibles.
Algunas causas de riesgo
Infraestructura Seguridad TI/SI
Gestión/Control Auditoría Integridad Continuidad Proveedores
Fallas en la administración, Falta de requerimientos de seguridad en el proceso de desarrollo, Carencia o inadecuación del BCP, Pobre autenticación e identificación, Inexistencias de detección de intrusos o mala configuración, Sin protección del perímetro de la Intranet, Inadecuada o carente protección en las comunicaciones, Inadecuado resguardo de activos de información, Falta de entrenamiento en nuevas tecnologías, Nula o pobre actualización sobre los nuevas vulnerabilidades del software o hardware.
Algunas amenazas a la seguridad
Infraestructura Seguridad TI/SI
Gestión/Control Auditoría Integridad Continuidad Proveedores
Hackers, Phreakers, etc. Virus y bombas lógicas, Vulnerabilidades del software, Violación de acceso, Intercepción de datos en la red, Modificación de datos en la red, Modificación de datos sin permiso, Legitimación de mensajes falsos, Emisiones electromagnéticas, Divulgación de datos confidenciales, Destino de mensajes indebido, Destrucción de datos, Fallas de software o hardware, Inhabilidad de operar, Inadecuación de la separación de funciones.
Algunas consecuencias de los riesgoS
Infraestructura Seguridad TI/SI
Gestión/Control Auditoría Integridad Continuidad Proveedores
Pérdidas financieras como resultado de un fraude tecnológico (hackers, freackers, crackers, intrusión, etc.): Denegación de servicio (DOS); Internet protocol (IP) spoofing;Trojan horses (virus). Pérdidas de información confidencial, por intrusión o alteración no permitida: Internet protocol (IP) spoofing; Trojan horses (virus). Pérdidas de oportunidad de negocio a través de discontinuidad del servicio : Denegación de servicio (DOS). Utilización no autorizada de los recursos: Trojan horses (virus). Repudio de las transacciones: Negación del envío y/o recepción de una transacción.
Controles para minimizar el riesgo Control de acceso físicos,
Infraestructura Seguridad TI/SI
Gestión/Control Auditoría Integridad Continuidad
Control de acceso lógico, Autenticación, Firewalls, Sistemas de detección de intrusión, Control de acceso al contenido, Certificado de los servidores,
Certificación de los prestadores, Utilización de PKI, Mecanismos de Integridad, Manejo del No-Repudio, Encripción por claves,
Proveedores
Encripción.
Objetivos de la seguridad
Infraestructura Seguridad TI/SI
Una Organización Confiable y Segura
Continuidad
Infraestructura de Seguridad Políticas de Seguridad
Proveedores
Disponibilidad
No-Repudio
Autenticidad
Integridad
Integridad
Auditoría
Confidencialidad
Gestión/Control
Pilares de la seguridad
Infraestructura Seguridad TI/SI
Gestión/Control Auditoría Integridad Continuidad
Integridad,
Identidad,
Confidencialidad,
Autenticidad,
Disponibilidad
Privacidad de: los actores, los mensajes y los datos
en las redes de comunicación, la información crítica en los sistemas internos. Utilidad, Posesión,Temporalidad de: De los datos y de la información.
Proveedores
y
Foco de la política de seguridad
Infraestructura Seguridad TI/SI
Gestión/Control Auditoría Integridad Continuidad Proveedores
Niveles de confidencialidad de los datos, Separación de Funciones, Administración y control de la seguridad lógica, Control y seguimiento de accesos, Acceso de los usuarios definidos como de contingencia/emergencia, Acceso a utilitarios sensitivos, Separación de los ambientes de procesamiento, Puesta en producción de los programas, Confidencialidad de la transmisión de datos, Tipos de servicios ofrecidos por medio de Internet.
Política de seguridad
Infraestructura Seguridad TI/SI
La adecuación de una sana política de seguridad estará determinada por un balance de distintos factores claves:
Gestión/Control Auditoría
Servicios ofrecidos vs. Seguridad provista,
Integridad
Fácil de utilizar vs. Seguridad,
Continuidad Proveedores
Costo de la seguridad vs. El riesgo de la pérdida.
Algunas causas de riesgo
Infraestructura
Ausencia o débiles metodologías de Risk Assessment,
Seguridad TI/SI
Falta de requerimientos de control en el proceso de desarrollo,
Gestión/Control
Inadecuada implementación de registros de actividad,
Auditoría Integridad Continuidad Proveedores
Inexistencia o mal funcionamiento de controles embebidos en los sistemas, Débil conocimiento de las operaciones y sus riesgos, Escaso conocimiento de las tecnologías utilizadas.
Algunas causas de riesgo
Infraestructura Seguridad TI/SI
Gestión/Control Auditoría Integridad Continuidad Proveedores
Ausencia o débiles metodologías de Risk Assessment, Inadecuado plan de auditoría, Fallas en las evidencias, Nulo o pobre seguimiento de los hallazgos,
Faltas de ciclos de auditoría continua, Débil conocimiento de las operaciones y sus riesgos,
Escaso conocimiento de las tecnologías utilizadas.
Algunas causas de riesgo
Infraestructura
Falta de una metodología para la ingeniería del software,
Seguridad TI/SI
Inadecuado ciclo de desarrollo de sistemas,
Gestión/Control
Problemas en el control de cambios a programas o sistemas,
Auditoría
Inadecuada segregación de funciones (desarrollo, bases de datos y producción),
Integridad
Mala gestión o selección de los protocolos de comunicación,
Continuidad Proveedores
Escaso o malo control de intrusión, Inadecuada seguridad física y/o lógica.
Algunas causas de riesgo
Infraestructura
Nulo análisis de riesgos (BIA),
Seguridad TI/SI
Inadecuado manejo de incidentes, fallas, cancelaciones o re-procesos improvistos,
Gestión/Control Auditoría Integridad Continuidad
Ataques por denegación de servicio (DoS), Carencia o inadecuación de la planificación de contingencias, Malas prácticas de resguardo de datos, Falta de detección de Virus, Escaso mantenimiento preventivo, Escaso entrenamiento, Falta de control sobre los ISP,ASP o BSP.
Proveedores
Algunas causas de riesgo
Infraestructura Seguridad TI/SI
Gestión/Control
Fallas en la selección de los terceros, Inadecuado o falta de control sobre los servicios delegados a terceros,
Inadecuado acompañamiento de evolución del negocio por los terceros,
la
Auditoría
Incumplimiento de las políticas de la organización por parte de terceros,
Integridad
Problemas financieros de los terceros no detectados a tiempo,
Continuidad Proveedores
Quiebre operacional de los terceros, Inadecuado convenio contractual con los terceros.
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIONES BÁSICAS.- OBJETIVOS ANÁLISIS DE RIESGOS OBJETIVOS DEL ANALISIS DE RIESGOS Racionalizar la inversión en seguridad de la información. Reducción de costes de la seguridad; directos e indirectos de la inseguridad; directos e indirectos Coste de inseguridad = riesgo Formalizar la toma de decisiones: priorización y valoración Objetividad Valoración Cumplir con las normativas aplicables Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y sus desarrollos reglamentarios Real Decreto 263/1996, de 16 de Febrero, por el que se regula la utilización de técnicas electrónicas, informáticas y telemáticas por la Administración General del Estado. Estándares y códigos de buenas prácticas. Regulaciones sectoriales (Informe Olivencia, el Informe Aldama y el Código Unificado de Buen Gobierno, Basilea II, Solvencia II…)
SYSTEMS SECURITY
INTRODUCCIÓN
DEFINICIÓN DEL MODELO.- ELEMENTOS Evaluación coste pérdida
AMENAZAS ACTIVO
ACTIVO
ACTIVO
ACTIVO ACTIVO ACTIVO
Valoración
VULNERABILIDADES
Confidencialidad Integridad Disponibilidad
SALVAGUARDAS
PAG.
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIÓN DEL MODELO.- CUANTIFICACIÓN Las metodologías de análisis de riesgos de seguridad de la información parten de la necesidad de identificar formalmente los elementos a proteger. Estos elementos se recogen en un inventario de activos de información, considerando como tales aquellos elementos que tienen valor para la Organización. • • • •
Identificación de activos Valoración de activos (requisitos de seguridad: confidencialidad, integridad y disponibilidad) Identificación de amenazas Identificación de salvaguardas
¿Cómo cuantificar todos estos elementos?
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIÓN DEL MODELO.- CUANTIFICACIÓN Pérdida esperada (Single Loss Expectancy – SLE): Considerando un único activo de información (A), un único requerimiento de seguridad (R) y una única amenaza (T) se puede estimar la pérdida económica esperada en caso de que la amenaza se realice.
Generalmente, la pérdida esperada no se representa en términos absolutos, sino como un porcentaje de degradación referido al valor total del activo para el requerimiento considerado. Considerando distintos requisitos de seguridad:
Considerando los distintos activos identificados:
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIÓN DEL MODELO.- CUANTIFICACIÓN Pérdida anual esperada (Annual Loss Expectancy – ALE). Una vez conocida la pérdida provocada por la realización de cada amenaza, en caso de que ocurra, se debe considerar la probabilidad de que la amenaza se realice efectivamente en el periodo de un año:
La pérdida anual esperada teniendo en cuenta todas las amenazas puede definirse, por tanto, como:
existen amenazas para las que se espera más de una ocurrencia anual: el concepto de probabilidad se sustituye por el concepto de frecuencia (Annual Rate of Occurrence – ARO)
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIÓN DEL MODELO.- CUANTIFICACIÓN El concepto de riesgo intrínseco se asocia habitualmente a la pérdida anual estimada, y se representa de forma equivalente como:.
Las salvaguardas (S) implantadas permiten reducir la frecuencia de ocurrencia de las amenazas o la degradación causada por ellas en caso de realizarse. Teniendo en cuenta la reducción de la frecuencia, se puede considerar P(S) la probabilidad de que una salvaguarda sea eficaz en la prevención de la ocurrencia de una amenaza determinada.
Considerando el conjunto de salvaguardas:
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIÓN DEL MODELO.- CUANTIFICACIÓN Considerando frecuencia en lugar de probabilidad:
De forma análoga, se puede calcular la degradación una vez aplicadas las salvaguardas: I(S): reducción del impacto provocado por la acción de la salvaguarda Riesgo residual:
Simplificación del cálculo (por coste computacional) definiendo un porcentaje fijo de reducción de la probabilidad y de la degradación para cada salvaguarda implantada
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIÓN DEL MODELO.- CUANTIFICACIÓN Relaciones entre los activos Dados dos activos A y B, de forma que el activo A depende del activo B, el valor del activo B (para cada uno de los requerimientos de seguridad considerados), a efectos del análisis de riesgos, puede incrementarse con el valor del activo A, debido a que la realización de una amenaza sobre el activo B no sólo provocará la degradación correspondiente del activo B, sino también una degradación proporcional en el activo A. Esto se conoce como Valor acumulado. En caso de realizarse una amenaza T sobre el activo B
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIÓN DEL MODELO.- CUANTIFICACIÓN El riesgo total de B puede estimarse como la suma entre el riesgo propio de B más el riesgo de A soportado por B:
siendo A dependiente de B en cierto porcentaje, y dada una determinada amenaza T, el efecto de la realización de la amenaza sobre el activo A debe tener en cuenta también la dependencia del activo B
SYSTEMS SECURITY
INTRODUCCIÓN
DEFINICIÓN DEL MODELO.- VALORACIÓN Métodos de valoración:
Cuantitativos
Mixtos Cualitativos
PAG.
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIÓN DEL MODELO.- VALORACIÓN • Cuantitativa: supone establecer un valor numérico para cada uno de los requerimientos de seguridad. Este valor se calcula en términos de las pérdidas esperadas en caso de incumplimiento de dicho requerimiento. Los principales conceptos de pérdidas a tener en cuenta son: Coste de reposición de los activos y recursos de información perdidos (adquisición, instalación, recuperación, etc.) Coste de mano de obra invertida en recuperar y/o reponer los activos y recursos de información. Lucro cesante debido a la pérdida de ingresos provocada por la parada o degradación del funcionamiento de los diferentes procesos afectados. Capacidad de operar, debido a la pérdida de confianza de los clientes y proveedores, que se traduce en una pérdida de actividad o en peores condiciones económicas. Sanciones y penalizaciones por incumplimiento de la ley u obligaciones contractuales. Daño a otros activos, propios o ajenos. Daño a personas. Daños medioambientales. Daños reputacionales: percepción del mercado, pérdida de clientes, dificultad para acceder al crédito, coste de las campañas de marketing necesarias para recuperar la reputación perdida, etc. Valor de los secretos desvelados: secreto industrial, secreto comercial, etc.
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIÓN DEL MODELO.- VALORACIÓN •
Cualitativa: supone asignar un valor de una escala definida para cada uno de los requerimientos de seguridad. Este valor se calcula en base a un conjunto de características que define cada una de las categorías de la escala, basadas en las descritas para la valoración cuantitativa. La valoración cuantitativa es más precisa, pero supone un mayor esfuerzo y dificultad, por la necesidad de valorar los distintos conceptos de pérdida en términos generalmente económicos. Debido a la dificultad y el coste de realizar un análisis cuantitativo, muchas metodologías de análisis de riesgos han desarrollado enfoques cuantitativos, que permiten ubicar el riesgo en una escala de órdenes de magnitud. Este análisis se conoce como análisis cualitativo.
Los principios del análisis cualitativo son los mismos que los del análisis cuantitativo, sustituyendo los cálculos aritméticos por la aplicación de tablas
SYSTEMS SECURITY
DEFINICIÓN DEL MODELO.- VALORACIÓN
INTRODUCCIÓN
PAG.
SYSTEMS SECURITY
DEFINICIÓN DEL MODELO.- VALORACIÓN
INTRODUCCIÓN
PAG.
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIÓN DEL MODELO.- VALORACIÓN La elaboración de las tablas puede variar en función de las diferentes metodologías o necesidades de cada análisis. A continuación se muestran dos ejemplos de tablas utilizando las funciones máximo, mínimo y media:
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIÓN DEL MODELO.- VALORACIÓN Es posible convertir valores en diferentes escalas, por ejemplo, a continuación se toman dos parámetros en una escala de tres niveles y se obtiene un resultado en una escala de cinco niveles:
Caso inverso al caso anterior: la conversión de dos escalas de cinco niveles a una escala de tres niveles
SYSTEMS SECURITY
INTRODUCCIÓN
PAG.
DEFINICIÓN DEL MODELO.- VALORACIÓN
Métodos mixtos Debido a que los métodos cuantitativos y cualitativos tienen ventajas e inconvenientes, existen alternativas para combinar ambos métodos de forma que se obtengan las mayores ventajas de cada uno. Esos métodos que presentan algunas características de los métodos cuantitativos y otras características de los métodos cualitativos se denominan métodos mixtos.
View more...
Comments
