Evaluacin de la Seguridad.

Probabilidad
La probabilidad se refiere al grado de certeza de ocurrencia de un evento en particular. Usualmente
est basada en la frecuencia histrica. Sin embargo, para el propsito de toma de decisiones, las
probabilidades rara vez estn basadas estrictamente sobre informacin histrica; generalmente son
reajustadas tomando en consideracin la informacin disponible en el momento, a lo cual se puede
hacer referencia como probabilidad subjetiva.
Riesgo
El riesgo es generalmente definido como la probabilidad de prdida. En trminos econmicos esto
se refiere a una disminucin del ingreso debido a prdidas que resultan de un peligro.
Aversin al riesgo
La aversin al riesgo se refiere a la actitud individual hacia el riesgo. La mayora de las personas
son contrarias al riesgo, es decir, estn llanas a aceptar algn costo para evitar el riesgo. Pero hay
un amplio espectro en los grados de aversin (Binswanger, 1980, y Young, 1979).

Anlisis y evaluacin del riesgo.

Anlisis de riesgos :Identifica y calcula los riesgos de un sistema para establecer y justificar las
medidas de proteccin necesarias para disminuir riesgos. Forma parte de la gestin de riesgos.
Gestin de riesgos: Abarca todas las actividades encaminadas a proporcionar un nivel de seguridad
adecuado en las tecnologas de la informacin.
Situacin de riesgo: Una amenaza sucede sobre un activo en un escenario determinado.
Activo: Es un bien, un elemento de vital importancia para el correcto funcionamiento de una
organizacin.
Amenaza: Causa de posible dao o efecto negativo en el sistema.
Escenario: Entornos temporales, fsicos o lgicos en los que se puede producir una amenaza sobre
un activo.
Entorno : Lo que rodea a la instalacin

Vulnerabilidad: Debilidades del sistema que pueden ser utilizadas por las amenazas para causar
dao.
Medida de proteccin: Componentes del sistema de seguridad que reducen las vulnerabilidades,
protegen contra las amenazas y limitan el impacto de sucesos dainos.

Riesgo: Impacto de la situacin.

Anlisis de la seguridad actual: Estudio de las vulnerabilidades de las situaciones de riesgo
detectadas.
Medidas de seguridad: Sinnimo de medidas de proteccin.
Impacto: Costo de reposicin del activo, se mide en unidades monetarias

Diagrama de relaciones:
Vulnerabilidad

reduce
(1:n)

produce

Situacin de
riesgo

(1:n) (0:n) Medida de

proteccin

aplica
(1:n)

(1:1)
Amenaza

(1:1)
Activo

(1:1)
Escenario

corre
Riesgo

Proceso :

Calcular el riesgo.

Estudiar situaciones de riesgo

Anlisis de la seguridad actual
Estudiar vulnerabilidad. Analizar las medidas de proteccin instaladas en el sistema
y comprobar si cumplen su objetivo.
Calcular riesgo. Obtener impacto de la situacin.

Recomendar medida de proteccin para una situacin de riesgo.

Anlisis del Riesgo

Anlisis de
riesgos

Determinar el
riesgo

Identificar activos,
amenazas y
escenarios

Recomendar
medida de
proteccin

Estudiar
situaciones de
riesgo

Estudiar
vulnerabilidad

Anlisis de
seguridad actual

Calcular el riesgo

Estudiar atractivo

Orden de ejecucin

Identificar
activos,
amenazas y
escenarios

Estudiar
situaciones de
riesgo

Estudiar
vulnerabilidad

Estudiar atractivo

Calcular riesgo

Recomendar
proteccin

Conjunto de Activos

Amenazas

Escenarios

Personal
Imagen de E
Instalaciones
Informacin propia y de clientes
Proyectos desarrollados y en desarrollo
Productos
Clientes
Suministros
Comunicaciones

Incendio
Robo
Sabotaje
Espionaje industrial
Inundacin
Cortes de energa
Fenmenos naturales
Emanaciones txicas
Accesos indebidos

Edificios
Oficinas
Salas de equipos
Archivos
Tableros y cajas
Servidores
Complejo industrial
Horas laborales
Horas no laborales

Medidas de proteccin:
Control de accesos
Control de autenticidad
Pulsador de emergencia
Estructura organizativa y Procedimientos de seguridad y emergencias
Vigilancia permanente mediante CCTV
Copias de respaldo
Monitoreo de red
Auditora de accesos
Detectores de intrusin, rotura de cristales
Realizacin de inspecciones peridicas en la seguridad del edificio
Deteccin de emanaciones
Generadores de emergencia y UPS
Sistemas contraincendios

Factores de Vulnerabilidad
Control de personal (interno y externo)
Entorno de la instalacin
Clasificacin de la informacin segn su criticidad
Estructura organizativa de seguridad
Separacin de entornos de desarrollo y explotacin

Factores de Atraccin
Ambiente socio laboral
Entorno
Manejo de valores
Motivaciones polticas, terroristas, competencia, u otros
Facilidades de ingreso/escape
Gestin de suministros

Fugas de gas/combustibles
Incendio
Mantencin de las instalaciones
Mantencin de sistemas (incluye hardware y software)
mbitos
rea de seguridad general
Organizacin
Personal
Planificacin de seguridad general y de informtica
rea de comunicaciones y lgica
Control de accesos

Factor de atraccin

( Ppi

* R pi) = valor del factor de atraccin i.

Ppi = peso de la pregunta Pi que afecta al factor de atraccin i.

Rpi = respuesta de la pregunta Pi

Factor de Vulnerabilidad

( Ppi

* R pi) = valor del factor de vulnerabilidad i.

Ppi = peso de la pregunta Pi que afecta al factor de atraccin i.

Rpi = respuesta de la pregunta Pi

Atractivo

( FAi)
Ppi
= Valor del atractivo
m

Caractersticas de un atractivo que influyen en que una amenaza se materialice.

Fai = Valor de los factores de atraccin involucrados.
Ppi = Peso de las preguntas que afectan al factor de atracccin i.
m = N de factores de atracccin.

Vulnerabilidad

( FVi)
Ppi
= Valor de la vulnerabilidad
m

Debilidades del sistema, que pueden ser utilizados por las amenazas para causar daos
FVi = Valor de los factores de vulnerabilidad involucrados.
Ppi = Peso de las preguntas que afectan al factor de vulnerabilidad i.
m = N de factores de vulnerabilidad.

Probabilidad de Riesgo

A* V = P

Atractivo por vulnerabilidad

Riesgo

P*I=R

Probabilidad por impacto (costo de reposicin)

Situacin: Un activo, una amenaza y un escenario. Una amenaza puede ocurrir sobre un activo
concreto en un escenario determinado.

Pregunta: cada pregunta se refiere a una medida de proteccin, si se responde negativa, es necesario
implantar esa medida de proteccin. Son de naturaleza booleana, admiten dos posibles respuestas,
si o no.
Peso: vara entre 1 y 100 ( 0 y 4 )

Los conceptos Vulnerabilidad, Atractivo y Riesgo, se unen en un nico concepto: RIESGO.