1 / 0

Manejo de Riesgos

Manejo de Riesgos. Seguridad de Sistemas. Carmen R. Cintrón Ferrer , 2013, Derechos Reservados. Metodología Avalúo de riesgos (RA). Cuándo se maneja riesgos , evalúan controles , pondera efectividad de medidas ( safeguards )

tirzah
Télécharger la présentation

Manejo de Riesgos

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Manejo de Riesgos Seguridad de Sistemas Carmen R. CintrónFerrer, 2013, DerechosReservados
  2. MetodologíaAvalúo de riesgos (RA) Cuándo se manejariesgos, evalúancontroles, ponderaefectividad de medidas (safeguards) Apoya: Tomardecisiones, identificaramenazas y vulnerabilidades, avalarcontroles Componentes: Ámbito Áreascríticas Persona(s) responsible(s) Tipos de avalúo de riesgo: Cuantitativo: Single loss expectancy, Annual rate of occurrence, Annual los expectancy, Safeguard value Cualitativo: Probability, Impact Carmen R. Cintrón Ferrer, 2013, Derechos Reservados
  3. Avalúo de RiesgosProceso Carmen R. Cintrón Ferrer, 2013, Derechos Reservados
  4. Avalúo de riesgosActivos Equipo Programación: Plataformas Aplicaciones Información: Propietaria: (IP) organizacional ó 3ros Transaccional: pública, privada, 3ros Personal (staff) Respaldo de sistemas: Funcionesesenciales, críticas/no críticas Accesoy/o disponibilidad Acceso a sedefísica/virtual Disponibilidad de avíos (supplies) Carmen R. Cintrón Ferrer, 2013, Derechos Reservados
  5. Carmen R. Cintrón Ferrer, 2013, Derechos Reservados
  6. Modelaramenazas Carmen R. Cintrón Ferrer, 2013, Derechos Reservados
  7. Business Impact AnalysisGap Analysis Ámbito – Sistemas de información (IT) Objetivosparacadaactivo: Impactodirectoporperiodo(s) de tiempo Impactoindirectoporperiodo(s) de tiempo Respaldofuncionescríticas/esenciales Calcularimpacto/pérdidas/costos Avalar/Estimarbrecha Carmen R. Cintrón Ferrer, 2013, Derechos Reservados
  8. Controlescuantitativos Componentes Ejemploanálisiscuantitativo Single loss expectancy (SLE) Annual rate of occurrence (ARO) Annual loss expectancy (ALE) SLE * ALE Safeguard value (SV) Cost Benefit Analysis (CBA) Control pérdidaequipo/datos - Portátiles Costopromediounitario - $1250 Costounitariocontroles Lo-Jack SW - $29 Seguro - $16 Carmen R. Cintrón Ferrer, 2013, Derechos Reservados
  9. Avalúo de riesgosCualitativo Acopio de riesgos Matriz de riesgos Leyenda: (Bajo-B, Mediano-M, Alto- A) Carmen R. Cintrón Ferrer, 2013, Derechos Reservados
  10. Medidas de control Tipo de medida de control Impactoneto de la(s) medidas Integrartecnologías de protección (IT-HW) Fortalecermecanismos de copias de resguardo (Bkup) Educar a usuarios (Cultura) Añadirsistemasredundantes (Fault Tolerant) Carmen R. Cintrón Ferrer, 2013, Derechos Reservados
  11. Análisis de controles Objetivo(s) Enfoqueutilizado (cualitativo/cuantitativo) Análisis de impacto Análisis de efectividad control(es) vigente(s) Análisis de costo-beneficio control(es) contemplado(s) Análisis de rendimiento control(es) recomendado(s) Recomendaciones Impactoorganizacional/operacionalrecomendaciones Reseña de resultadosesperadosluego de implantarcontroles Carmen R. Cintrón Ferrer, 2013, Derechos Reservados
  12. Categorías de control Carmen R. Cintrón Ferrer, 2013, Derechos Reservados
  13. Plan de Seguridad Carmen R. Cintrón Ferrer, 2013, Derechos Reservados
  14. Plan de Mitigación Costo de implantarmedidas de control recomendadas(TCO): Adquisición Habilitarárea Instalación Adiestramiento Mantenimiento Tiempo de implantaciónoperacional: Impacto en la infraestructura Impacto en la organización Impacto (efectividad) operacional de los controles: Matriz de impacto y priorización de controles Análisis de costo/beneficio Gestión del Plan (Project management & Plan Audit): Cumplir con presupuestos Cumplir con itinerarios Manejarcambio(s) de cultura Asegurar se integren los controles Validar se redujo o cerró la brecha (Gap Analysis) Carmen R. Cintrón Ferrer, 2013, Derechos Reservados
  15. Mitigación de riesgos Plan de continuidad de negocios (BCP) Plan de recuperación de desastres (DRP) Equipo de Respuesta a escenarios de emergencia (CERT) Plan de Concienciación (Awareness Plan) Políticas de seguridad (IT Security Policies): Marco o entorno (Framework): Access Control: User s Policy, Priviledge Access Agreement, Security Awareness Communications and Operations Physical Security Human Resources Security Asset Management Compliance Management Hacervaler (Enforcement) Implantación (Implementation) Carmen R. Cintrón Ferrer, 2013, Derechos Reservados
  16. IT Infrastructure Policies and Standards Basic Documentation Control Standards Baseline Standards: Audit (logs) storage and Records Standard Remote Maintenance Standard Firewall Baseline Security Standard Router Baseline Configuration IDS/IPS Intrusion Detection Standard Server Baseline Configuration Standard Procedure Documents Guidelines Policies: Workstation Domain WAN-LAN Domain Wireless Access Domain System Applications Domain Telecommunications: VoIP, Bluetooth, BYOD Data Classification and Data Handling Carmen R. Cintrón Ferrer, 2013, Derechos Reservados
  17. IT Management Metrics Strategic (direction by objectives): Strategic Alignment implies: Clearly defined objectives Risks and security implications Boundaries of acceptable risk Trade-offs: Cost of risk Value of benefit to users and/or Cost of inconvenience Cost of incremental limitations Cost of remedial processes Carmen R. Cintrón Ferrer, 2013, Derechos Reservados
  18. IT Management Metrics Management (location, attitude, acceptable limits, focus) Risk Management: Organization’s Risk Tolerance Comprehensive Resource Evaluation Complete Risk Assessment Business Impact Assessment of importan systems Test control effectiveness and reliability Known level of metric accuracy and reliability Assurance Process Integration Value Delivery – Optimizing Investments to Support Objectives: Objectives Effectiveness meassure Degree required or targeted Cost Resource Management –Effective & Efficient use of Organizational Resources Resource Optimization for effectiveness Process Optimization and monitoring for effectiveness Performance Monitoring Carmen R. Cintrón Ferrer, 2013, Derechos Reservados
  19. IT Management Metrics Operational (functionality, issues, predictive): Carmen R. Cintrón Ferrer, 2013, Derechos Reservados
More Related