Sei sulla pagina 1di 14

1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Introduccin. Recursos del sistema. Amenazas. Vulnerabilidades. Incidentes de seguridad. Impactos. Riesgos. Defensas, salvaguardas o medidas de seguridad. Transferencias del riesgo a terceros. Referencias de inters.

Un proceso de gestin de riesgos comprende una etapa de evaluacin previa de los riesgos del sistema informtico, que se debe realizar con rigor y objetividad para que cumpla su funcin con garantas.

Los recursos son los activos a proteger del sistema informtico de la organizacin. Relacin de principales recursos: Recursos hardware: servidores, impresoras, escner etc. Recursos software: sistemas operativos, aplicaciones etc. Elementos de comunicaciones: dispositivos de conectividad, cableado, lneas de comunicacin etc. Informacin que se almacena, procesa y distribuye a travs del sistema. Locales y oficinas donde se ubican los recursos fsicos a los que acceden los usuarios finales. Personas que utilizan y se benefician del funcionamiento del sistema. Imagen y reputacin de la organizacin.

Se considera amenaza cualquier evento accidental o intencionado que ocasione algn dao en el sistema operativo, provocando perdidas a la organizacin. Clasificacin de las amenazas: Amenazas naturales: inundacin, incendio, tormenta. Amenazas agentes externos: virus informtico, sabotajes. Amenazas de agentes internos: empleados descuidados, errores en utilizacin de herramientas. Clasificacin alternativas: Accidentes: averas de hardware, fallos software etc. Errores: errores de utilizacin, de explotacin etc. Actuaciones malintencionadas: robos, fraudes, sabotajes. Niveles de frecuencia de las amenazas: Muy bajas, baja, media, alta, muy alta.

Una vulnerabilidad es cualquier debilidad en el sistema informtico que pueda permitir a las amenazas causarles daos y producir perdidas en la organizacin. Son fallos en los sistemas fsicos y lgicos, aunque tambin pueden ser por malas instalaciones, configuraciones o mantenimientos. Tambin pueden ser por aspectos organizativos como procedimientos mal hechos o sin polticas de seguridad, por el factor humano por la falta de formacin sobre los equipos las herramientas. Tambin por faltas de medidas de seguridad, escasa proteccin contra incendios malas ubicaciones de los locales etc Niveles de vulnerabilidad en un equipos o recurso: baja, media y alta.

Un incidente de seguridad es cualquier evento que tenga como resultado la interrupcin de los servicios suministrados por un sistema informtico o posibles perdidas fsicas de activos o financieras.

El impacto es la medicin y valoracin del dao que podra producir a la organizacin un incidente de seguridad. Escala cuantitativa o cualitativa del impacto: bajo, moderado y alto.

El riesgos es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informtico. El nivel de riesgo depende del anlisis previo de vulnerabilidades que el sistema pueda tener. Hay distintas metodologas para la evaluacin de riesgos como: CRAMM: desarrollada por la agencia CCTA 1985 Estado Unidos.

MAGERIT: desarrollada en Espaa 1996 por Ministerio de administraciones publicas.

Las organizaciones deben evaluar el nivel de riesgos de la siguiente manera: Activo: servidor de ficheros de la organizacin. Amenazas: fallo hardware en un servidor. Vulnerabilidad del sistema: alta ya que se dispone de servidores alternativos. Impacto: indisponibilidad durante 24 horas del activo afectado Nivel de riesgo: se obtiene a partir de las tablas de valoracin que se hayan adoptado. Despus se presentara una propuesta de tabla con los elementos para poder realizar la evaluacin del nivel de riesgos asociados a uno de los recursos del sistema informtico.

Una defensa, salvaguarda o medida de seguridad es cualquier medio empleado para eliminar o reducir un riesgo. Su objetivo es reducir las vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas o el nivel de impacto en la organizacin. Medidas de seguridad activa: medida utilizada para anular o reducir el riesgo de una amenaza. Medidas de seguridad pasiva: medida empleada para reducir el impacto cuando se produzca un incidente de seguridad.

Defensas fsicas: medidas que implican el control de acceso fsico a los recursos y las condiciones ambientales en que tienen que ser utilizados. Defensas lgicas: se encuentran relacionadas con la proteccin conseguida mediante distintas herramientas y tcnicas informticas. Nivel de riesgo residual: se obtiene tras un nuevo proceso de evaluacin de riesgos teniendo en cuenta que los recursos ya se encuentran protegidos por las medias de seguridad seleccionadas.

Proceso de evaluacin y gestin de riesgos:

Una organizacin tambin podra considerar la transferencia del riesgo a un tercero, ya sea mediante la contratacin de una pliza de seguros o a travs de la subcontratacin de un proveedor especializado en ofrecer servicios de seguridad informtica. Se puede hacer de distintas maneras:

Contratacin de un seguro. Pliza tradicionales de responsabilidad civil. Plizas especializadas en seguridad informtica. Contratacin de una empresa especializada en servicios informticos.

Referencias de inters: