Professional Documents
Culture Documents
ANALISIS DE RIESGO
Estudio estructurado que revisa la probabilidad de ocurrencia de eventos que ocasionan perdidas o lesiones en TI (riesgo) y de la misma forma, se examina el resultado que se tendra al ser afectado por una amenaza especifica.
AMENAZAS
EXPUESTOS
RIESGOS
PERDIDAS
RISK MANAGEMENT
Es el estudio cientfico y sistemtico del anlisis cuantitativo del riesgo en seguridad y de la introduccin de medidas de proteccin efectivas y costeables para minimizar su efecto
1. Se calcula el costo por hora del salario promedio del personal que usa el sistema. 2. Se multiplica el costo por hora del salario del usuario por el numero de usuarios que usan el sistema 3. Se calcula de la misma manera el tiempo extra que utilizan los usuarios en reponer el tiempo perdido
Primer estrategia. Se asigna un valor en dlares al tiempo de indisponibilidad de un sistema. 6. Finalmente se suman los dos resultados y se obtiene el costo total por hora de indisponibilidad de un sistema. 7. El calculo se puede hacer para 10,24 y 48 horas 8. Otros valores intangibles se pueden sumar como: satisfaccion del cliente, perdidas de ventas, etc.
Es el anlisis de los recursos que mantienen un valor para una organizacin los cuales se encuentran susceptibles a daos o perdidas
Clasificacin de Activos
Existen dos maneras de clasificar activos que son de inters par un trabajo en seguridad. 1. Tangibles / Intangibles 2. Fsicos / Lgicos
Los activos Fsicos son aquellos que se pueden tocar. Los activos Logicos son aquellos que no se pueden tocar como son los datos o la informacion.
La marca Tylenol
Hw
Software
Datos Recursos Humanos
Anlisis de Vulnerabilidades
Anlisis de Perdidas
Objetivo
El propsito de este anlisis es determinar el impacto (anual) esperado debido a amenazas que afectan a los activos de la organizacin
El primer paso del anlisis de perdidas es determinar la perdida por ocurrencia para cada amenaza identificada. Para determinar las perdidas por evento, cada amenaza deber ser comparada contra cada subclasificacion de activos. La subclasificacion de activos son: Recursos Humanos, Fsico y Medio Ambiente, Comunicaciones, Hw, Sw, Datos e Informacin.
Para obtener las perdidas por evento se deber combinar los resultados de la identificacin y valuacin de activos con la identificacin de amenazas. Como resultado de esta combinacin de informacin se generara un nuevo documento que contendr las perdidas de cada amenaza identificada.
Valor intrnseco
total
$275,741.00
IDENTIFICACION DE AMENAZAS
Tipos de amenaza Vandalismo Posibilidad
Qu tan seguido ocurre?
4 veces por ao
Virus
Robo Falla de hardware Falta de procedimientos de respaldo
6 veces por ao
1 ves por mes 2 veces por ao 20 veces por ao
6
12 2 20
SI
SI
SI
Mant, servidor
Polticas y capacitacin
Una vez calculado las perdidas en cuanto a la destruccin (valor intrnseco), disponibilidad, integridad y confidencialidad por cada una de sus subclasificaciones se podr obtener la perdida total por instalacin.
Valor intrnsec o
$7,866.00
total
$72,666.00
Comunicaciones
Datos e informacin
$2,085.00
$3,970.00
$1,000.00
$15,500.00
$1,000.00
$52,000.00 $43,200.00
$4,085.00
$114,670.00
$191,421.00
Amenaza
Control de acceso (vandalismo) Control de acceso (robo) Sist. Aplicaciones (virus) Tcnico (falla de Hw) Planes de contingencia (falta de respaldos)
Multiplicador
4 12 6 2 20
Comentarios controles
$1,102,964 $2,387,880 $716,526 $372,652
Objetivo
El propsito del anlisis es identificar los controles de que forma eficiente, lleguen a reducir los riesgos identificados durante el anlisis de riesgo
Primer paso
Consiste en la identificacin de controles los cuales puedan llegar a reducir las vulnerabilidades identificadas en el anlisis de vulnerabilidad Los controles identificados debern cumplir con los siguientes aspectos
1. Una reduccin en el numero de ocurrencia de la amenaza o del conjunto de amenazas 2. Una reduccin en los efectos ocasionados por una amenaza una vez que esta haya ocurrido
Controles
Ambos costos debern ser divididos por el tiempo de vida del control para dar como resultado el costo anual prorrateado. Esta es la parte del costo del anlisis costobeneficio
Anlisis
Si el beneficio causado por el control es mayor al costo del control, se deber implantar el control. Si el costo del control es mayor al beneficio entonces el control deber ser rechazado.
vandalismo
Agentes de seguridad
$275,741 $275,741
$765,684
robo
virus Hw falta de respaldos
Compaa de seguridad
Firewall, antivirus Servidor
$198,990
$119,421 186,324
$198,990
$119,421 186,324
$551,482
SI
$218,899
SI
$326,070
SI
Politicas , capacitacion
SI