ANALISIS Y GESTION DE RIESGOS EN UN SISTEMA INFORMATICO

1. ANALISIS Y GESTION DE RIESGOS EN UN SISTEMA INFORMATICO

2. INDICE Introducción. Recursos del sistema. Amenazas. Vulnerabilidades. Incidentes de seguridad. Impactos. Riesgos. Defensas, salvaguardas o medidas de seguridad. Transferencias del riesgo a terceros. Referencias de interés.

3. introduccion Un proceso de gestión de riesgos comprende una etapa de evaluación previa de los riesgos del sistema informático, que se debe realizar con rigor y objetividad para que cumpla su función con garantías.

4. Recursos del sistema Los recursos son los activos a proteger del sistema informático de la organización. Relación de principales recursos: Recursos hardware: servidores, impresoras, escáner etc. Recursos software: sistemas operativos, aplicaciones etc. Elementos de comunicaciones: dispositivos de conectividad, cableado, líneas de comunicación etc. Información que se almacena, procesa y distribuye a través del sistema. Locales y oficinas donde se ubican los recursos físicos a los que acceden los usuarios finales. Personas que utilizan y se benefician del funcionamiento del sistema. Imagen y reputación de la organización.

5. Amenazas Se considera amenaza cualquier evento accidental o intencionado que ocasione algún daño en el sistema operativo, provocando perdidas a la organización. Clasificación de las amenazas: Amenazas naturales: inundación, incendio, tormenta. Amenazas agentes externos: virus informático, sabotajes. Amenazas de agentes internos: empleados descuidados, errores en utilización de herramientas. Clasificación alternativas: Accidentes: averías de hardware, fallos software etc. Errores: errores de utilización, de explotación etc. Actuaciones malintencionadas: robos, fraudes, sabotajes. Niveles de frecuencia de las amenazas: Muy bajas, baja, media, alta, muy alta.

6. vulnerabilidades Una vulnerabilidad es cualquier debilidad en el sistema informático que pueda permitir a las amenazas causarles daños y producir perdidas en la organización. Son fallos en los sistemas físicos y lógicos, aunque también pueden ser por malas instalaciones, configuraciones o mantenimientos. También pueden ser por aspectos organizativos como procedimientos mal hechos o sin políticas de seguridad, por el factor humano por la falta de formación sobre los equipos las herramientas. También por faltas de medidas de seguridad, escasa protección contra incendios malas ubicaciones de los locales etc… Niveles de vulnerabilidad en un equipos o recurso: baja, media y alta.

7. Incidentes de seguridad Un incidente de seguridad es cualquier evento que tenga como resultado la interrupción de los servicios suministrados por un sistema informático o posibles perdidas físicas de activos o financieras.

8. impactos El impacto es la medición y valoración del daño que podría producir a la organización un incidente de seguridad. Escala cuantitativa o cualitativa del impacto: bajo, moderado y alto.

9. Riesgos El riesgos es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informático. El nivel de riesgo depende del análisis previo de vulnerabilidades que el sistema pueda tener. Hay distintas metodologías para la evaluación de riesgos como: CRAMM: desarrollada por la agencia CCTA 1985 Estado Unidos. MAGERIT: desarrollada en España 1996 por Ministerio de administraciones publicas.

10. riesgos Las organizaciones deben evaluar el nivel de riesgos de la siguiente manera: Activo: servidor de ficheros de la organización. Amenazas: fallo hardware en un servidor. Vulnerabilidad del sistema: alta ya que se dispone de servidores alternativos. Impacto: indisponibilidad durante 24 horas del activo afectado Nivel de riesgo: se obtiene a partir de las tablas de valoración que se hayan adoptado. Después se presentara una propuesta de tabla con los elementos para poder realizar la evaluación del nivel de riesgos asociados a uno de los recursos del sistema informático.

11. Defensas, salvaguardas o medidas de seguridad Una defensa, salvaguarda o medida de seguridad es cualquier medio empleado para eliminar o reducir un riesgo. Su objetivo es reducir las vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas o el nivel de impacto en la organización. Medidas de seguridad activa: medida utilizada para anular o reducir el riesgo de una amenaza. Medidas de seguridad pasiva: medida empleada para reducir el impacto cuando se produzca un incidente de seguridad. Defensas físicas: medidas que implican el control de acceso físico a los recursos y las condiciones ambientales en que tienen que ser utilizados. Defensas lógicas: se encuentran relacionadas con la protección conseguida mediante distintas herramientas y técnicas informáticas. Nivel de riesgo residual: se obtiene tras un nuevo proceso de evaluación de riesgos teniendo en cuenta que los recursos ya se encuentran protegidos por las medias de seguridad seleccionadas.

12. Defensas, salvaguardas o medidas de seguridad Proceso de evaluación y gestión de riesgos:

13. Transferencias del riesgo a terceros Una organización también podría considerar la transferencia del riesgo a un tercero, ya sea mediante la contratación de una póliza de seguros o a través de la subcontratación de un proveedor especializado en ofrecer servicios de seguridad informática. Se puede hacer de distintas maneras: Contratación de un seguro. Póliza tradicionales de responsabilidad civil. Pólizas especializadas en seguridad informática. Contratación de una empresa especializada en servicios informáticos.

14. Referencias de interes Referencias de interés: