SlideShare una empresa de Scribd logo

Memorias webCast Introduccion al analisis y gestión de riesgos

Aranda Software
Aranda Software

El documento presenta una introducción a los conceptos de riesgo, análisis de riesgos y metodologías como NIST 800-30. Explica que el riesgo es el potencial de que una amenaza explote una vulnerabilidad y cause daño, y que el análisis de riesgos identifica amenazas, vulnerabilidades y sus impactos. También resume los pasos de la metodología NIST 800-30 como la caracterización del sistema, identificación de amenazas, análisis de vulnerabilidades, controles y determinación del riesgo.

1 de 25
Descargar para leer sin conexión
Luis Carlos Arbesú Consultor de Preventa Especialista en Seguridad
Agenda • Introducción • Riesgo • Análisis de Riesgos • Metodologías para el Análisis y Gestión de Riesgos • Metodología NIST 800-30 • Manejo de Riesgos • Resumen • Riesgo Residual
EL PROBLEMA: • Darse cuenta que pasa, hasta que pasa. • Cuantificarlos económicamente, por ejemplo: ¿cuánto le cuesta a la compañía su base de datos? • Vincular directamente sus efectos sobre los resultados de la compañía LA SOLUCIÓN: • No es invertir gran cantidad de dinero. • Buenas prácticas administración y control. • Medición – auditoria – informática Introducción
Es el potencial que dada una amenaza, esta explote una vulnerabilidad de un activo o de un grupo de activos y de esta forma cause daño en la organización Riesgo
Es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir. Análisis de Riesgos
Metodologías para el Análisis y Gestión de Riesgos Citicus One CRAMM: “CCTA Risk Assessment and Management Methodology” ISO/IEC 27005 MAGERIT OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) NIST SP 800-39 NIST SP 800-26/30 Mehari AS/NZS
Metodologías para el Análisis y gestión de Riesgos Estas metodologías de análisis y gestión del riesgo hacen parte del ciclo de mejor continua PHVA dentro del SGSI
El National Institute of Standards and Technology (NIST), fundado en 1901, es un organismo federal no regulador que forma parte de la Administración de Tecnología (Technology Administration) del Departamento de Comercio (Department of Commerce) de los EE.UU. La misión del NIST consiste en elaborar y promover patrones de medición, normas y tecnología con el fin de incrementar la productividad, facilitar el comercio y mejorar la calidad de vida. NIST 800-30 Guía de Gestión de Riesgos de los Sistemas de Tecnología de la Información NIST 800
NIST 800-30
Caracterización del sistema ENTRADAS • Activos de la organización • Hardware • Software • Interfaces del sistema • Información • Personas • Misión del sistema SALIDAS • Caracterización de los sistemas de IT evaluados • Definir el alcance del análisis de riesgos Toda esta información se puede obtener a partir de cuestionarios, reuniones en sitio, herramientas automáticas de escaneo, etc.
Identificación de Amenazas • Potencial de que una fuente de amenazas se aproveche o explote una vulnerabilidad especifica accidental o intencionalmenteAmenaza • Intención o método que puede explotar una vulnerabilidad. Estas pueden ser naturales, humanas, del ambiente, etc. Fuente de Amenazas • Falla o debilidad en los sistemas de seguridad de un sistema, diseño, implementación, control interno, etc., que puede ser aprovechada y resultar en una violación de la política de seguridad del sistema Vulnerabilidad
Identificación de Amenazas Hacker, Cracker Criminales Terroristas Espionage Industrial o Intereses Extrangeros Interno (Empleados enojados, descuidados) Desastres Naturales
Identificación de Vulnerabilidades Evaluaciones previas de riesgos Reportes de auditoria, reportes de revisión de la seguridad y reportes de evaluación y pruebas de sistemas Listas de vulnerabilidades (NIST I-CAT) Advertencias de seguridad (Federal Computer Incident Response Capability FedCIRC) Advertencias de vendedores Análisis de Vulnerabilidades y Pentesting Reportes de anomalias del sistema
Análisis de Controles Los controles pueden ser extrapolados de: - Políticas y guías de seguridad - Procedimientos de operación de los sistemas - Especificaciones de seguridad del sistema - Estándares y buenas practicas Controles Técnicos - Preventivos - Control de acceso - Antivirus - Mecanismos de identificación y autenticación - Firewalls - Encripción - Detectivos - Logs - IDS
Análisis de Controles Controles Operacionales (personal, seguridad física, etc.) - Preventivos Entrenamiento y conciencia de la seguridad Planes de contingencia, recuperación y emergencias - Detectivos Revisiones de seguridad y auditorias Investigaciones Controles administrativos - Revisiones de auditorias - Evaluaciones de riesgos - Reglas de comportamiento
Probabilidad de Ocurrencia • La fuente esta altamente motivada y es lo suficientemente capaz y los controles no son efectivosAlta • La fuente esta altamente motivada y es lo suficientemente capaz y los controles son efectivos.Media • La fuente no tiene motivación o capacidad o existen controles para prevenir, impedir significativamenteBaja
Análisis de Impactos • La integridad se pierde si cambios no autorizados son realizados al sistema o a los datos accidental o intencionalmente. Puede causar impacto similar a la perdida de disponibilidad. Puede ser el primer paso hacia una perdida de disponibilidad o confidencialidad Integridad • SI el sistema esta parcial o completamente no disponible para los usuarios autorizados puede afectarse la misión de la organización Disponibilidad • Protección de la información contra divulgaciones no autorizadas. Confidencialidad
Análisis de Impactos
Determinación del Riesgo Riesgo = Probabilidad X Impacto Probabilidad: Probabilidad de ocurrencia de un incidente o fallo en un periodo de tiempo determinado. Impacto: Impacto asociado a la ocurrencia de un incidente o fallo. Incluye pérdidas económicas, en productividad, en desempeño, en imagen organizacional, etc. y usualmente se expresa en dinero.
Determinación del Riesgo Matriz de Riesgos
- Implementación de controles - Documentación de amenazas, vulnerabilidades, riesgos
Manejo de Riesgos • Eliminar la amenaza quitando la falla o vulnerabilidad Eliminarlo • Implementar controles que restringen el impacto de una amenaza Reducirlo • Pagándole a un tercero para que el asuma el riesgo por mi Transferirlo • El nivel de riesgo es muy bajo y cuesta mas la implementación del control que las repercusiones económicas. Aceptarlo
Diseno sistema Activo Falla o debilidad? Explotable? Existe vulnerabilidad? & No hay riesgo No hay riesgo Existe amenaza Motivacion? Perdida considerable? Riesgo inaceptable Acepta riesgo Acepta riesgo Si No No No No Si SiSi Controles Riesgo Residual Resumen
Es el riesgo latente luego de aplicar los controles apropiados Riesgo Residual
Memorias webCast Introduccion al analisis y gestión de riesgos

Recomendados

Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 
12. tesis. capítulo 2
12. tesis. capítulo 212. tesis. capítulo 2
12. tesis. capítulo 2ucc
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgossgalvan
 
Análisis de riesgos
Análisis de riesgosAnálisis de riesgos
Análisis de riesgosAlexander Velasque Rimac
 
Analisis de riesgos
Analisis de riesgosAnalisis de riesgos
Analisis de riesgoslissethcespedes19
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Magerit
MageritMagerit
MageritKrolina Agui
 

Recomendados

Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 
12. tesis. capítulo 2
12. tesis. capítulo 212. tesis. capítulo 2
12. tesis. capítulo 2ucc
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgossgalvan
 
Análisis de riesgos
Análisis de riesgosAnálisis de riesgos
Análisis de riesgosAlexander Velasque Rimac
 
Analisis de riesgos
Analisis de riesgosAnalisis de riesgos
Analisis de riesgoslissethcespedes19
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Magerit
MageritMagerit
MageritKrolina Agui
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit MetodologiaAndres Soto Suarez
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgosUniversidad Tecnológica
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octaveAndres Soto Suarez
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgosRosaly Mendoza
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgosKarlita G Martín
 
Taller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_RiesgosTaller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_RiesgosLeonardo Lemes Fagundes
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 
Metodologia prima
Metodologia primaMetodologia prima
Metodologia primaPaolita Gomez
 
Metodologias de Seguridad De Sistemas
Metodologias de Seguridad De SistemasMetodologias de Seguridad De Sistemas
Metodologias de Seguridad De SistemasCarmen Benites
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Analisis gestion de riesgos
Analisis gestion de riesgosAnalisis gestion de riesgos
Analisis gestion de riesgosmendozanet
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Ciro Bonilla
 
Magerit
MageritMagerit
Mageritsdaniela_2007@hotmai sandoval
 
Taller gestion de riesgos
Taller gestion de riesgosTaller gestion de riesgos
Taller gestion de riesgosMaurice Frayssinet
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgocristian andres jaramillo montoya
 
Dr.villasante
Dr.villasanteDr.villasante
Dr.villasantecefic
 
Metodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, MageritMetodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, MageritAndrea Lorena Dávila Gómez
 
Sinergia Gestión De Riesgos
Sinergia Gestión De RiesgosSinergia Gestión De Riesgos
Sinergia Gestión De RiesgosIsrael Díaz Ramos
 
¿Gestión de Riesgos: cómo manejar las incertidumbres del proyecto?
¿Gestión de Riesgos: cómo manejar las incertidumbres del proyecto?¿Gestión de Riesgos: cómo manejar las incertidumbres del proyecto?
¿Gestión de Riesgos: cómo manejar las incertidumbres del proyecto?Software Guru
 
Riesgos del proyecto
Riesgos del proyectoRiesgos del proyecto
Riesgos del proyectoSantos Gabriel
 

Más contenido relacionado

La actualidad más candente

Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgosRosaly Mendoza
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 
Metodologias de Seguridad De Sistemas
Metodologias de Seguridad De SistemasMetodologias de Seguridad De Sistemas
Metodologias de Seguridad De SistemasCarmen Benites
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Analisis gestion de riesgos
Analisis gestion de riesgosAnalisis gestion de riesgos
Analisis gestion de riesgosmendozanet
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Ciro Bonilla
 
Dr.villasante
Dr.villasanteDr.villasante
Dr.villasantecefic
 

La actualidad más candente (20)

Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgos
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octave
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgos
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgos
 
Taller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_RiesgosTaller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_Riesgos
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoría
 
Metodologia prima
Metodologia primaMetodologia prima
Metodologia prima
 
Metodologias de Seguridad De Sistemas
Metodologias de Seguridad De SistemasMetodologias de Seguridad De Sistemas
Metodologias de Seguridad De Sistemas
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
 
Analisis gestion de riesgos
Analisis gestion de riesgosAnalisis gestion de riesgos
Analisis gestion de riesgos
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
 
Magerit
MageritMagerit
Magerit
 
Taller gestion de riesgos
Taller gestion de riesgosTaller gestion de riesgos
Taller gestion de riesgos
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgo
 
Dr.villasante
Dr.villasanteDr.villasante
Dr.villasante
 
Metodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, MageritMetodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, Magerit
 
Sinergia Gestión De Riesgos
Sinergia Gestión De RiesgosSinergia Gestión De Riesgos
Sinergia Gestión De Riesgos
 

Destacado

¿Gestión de Riesgos: cómo manejar las incertidumbres del proyecto?
¿Gestión de Riesgos: cómo manejar las incertidumbres del proyecto?¿Gestión de Riesgos: cómo manejar las incertidumbres del proyecto?
¿Gestión de Riesgos: cómo manejar las incertidumbres del proyecto?Software Guru
 
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...Rooswelth Gerardo Zavaleta Benites
 
Proyecto final grupo_102058_38
Proyecto final grupo_102058_38Proyecto final grupo_102058_38
Proyecto final grupo_102058_38ronalitomejia
 
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓNDeclaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓNAlejandra Prado
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEYairTobon
 
El entorno de la empresa
El entorno de la empresaEl entorno de la empresa
El entorno de la empresalidytazo
 
Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242hammettbv
 
Por Que Nacen Las Empresas
Por Que Nacen Las EmpresasPor Que Nacen Las Empresas
Por Que Nacen Las EmpresasROBINHOOD
 
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAIDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAJhonatan Castañeda Velazquez
 
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.Paola Lovee
 
Proceso de administracion de estrategias
Proceso de administracion de estrategiasProceso de administracion de estrategias
Proceso de administracion de estrategiasalexander alticoru
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadessimondavila
 
Informe sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategicoInforme sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategicoJuan Prudencio
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaCarolina Cols
 

Destacado (20)

¿Gestión de Riesgos: cómo manejar las incertidumbres del proyecto?
¿Gestión de Riesgos: cómo manejar las incertidumbres del proyecto?¿Gestión de Riesgos: cómo manejar las incertidumbres del proyecto?
¿Gestión de Riesgos: cómo manejar las incertidumbres del proyecto?
 
Riesgos del proyecto
Riesgos del proyectoRiesgos del proyecto
Riesgos del proyecto
 
GESTION DEL RIESGO
GESTION DEL RIESGOGESTION DEL RIESGO
GESTION DEL RIESGO
 
Tutorial 2 plagio
Tutorial 2 plagioTutorial 2 plagio
Tutorial 2 plagio
 
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
 
Proyecto final grupo_102058_38
Proyecto final grupo_102058_38Proyecto final grupo_102058_38
Proyecto final grupo_102058_38
 
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓNDeclaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVE
 
El entorno de la empresa
El entorno de la empresaEl entorno de la empresa
El entorno de la empresa
 
Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242
 
Por Que Nacen Las Empresas
Por Que Nacen Las EmpresasPor Que Nacen Las Empresas
Por Que Nacen Las Empresas
 
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAIDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
 
Evaluación de Riesgo
Evaluación de Riesgo Evaluación de Riesgo
Evaluación de Riesgo
 
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
 
Proceso de administracion de estrategias
Proceso de administracion de estrategiasProceso de administracion de estrategias
Proceso de administracion de estrategias
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
 
Documento análisis vulnerabilidad
Documento análisis vulnerabilidadDocumento análisis vulnerabilidad
Documento análisis vulnerabilidad
 
Informe sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategicoInforme sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategico
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informática
 
Proyecto disco bar
Proyecto disco barProyecto disco bar
Proyecto disco bar
 

Similar a Memorias webCast Introduccion al analisis y gestión de riesgos

Riesgos y glosario
Riesgos y glosarioRiesgos y glosario
Riesgos y glosariocromerovarg
 
Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2macase
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática Alexader
 
03 seguridadeninformaticav1.0
03 seguridadeninformaticav1.003 seguridadeninformaticav1.0
03 seguridadeninformaticav1.0OttoLpezAguilar
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMICHELCARLOSCUEVASSA
 
03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptxJhon887166
 
Presentación análisis y administración de riesgo
Presentación análisis y administración de riesgoPresentación análisis y administración de riesgo
Presentación análisis y administración de riesgoAnel García Pumarino
 
Matriz de Riesgo para una empresa de servicios parte 1.pptx
Matriz de Riesgo para una empresa de servicios parte 1.pptxMatriz de Riesgo para una empresa de servicios parte 1.pptx
Matriz de Riesgo para una empresa de servicios parte 1.pptxDavesGirao
 
Sigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfSigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfNicanor Sachahuaman
 
Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4rodrigonix
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetlesweid2404
 
seguridadinformatica
seguridadinformaticaseguridadinformatica
seguridadinformaticaUniciencia
 
seguridadinformatica
seguridadinformaticaseguridadinformatica
seguridadinformaticaToña Alvarez
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Saeta de Dios
 
Gestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaGestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaCristiam Lopez
 
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdfSesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdfssuser44ff1b
 

Similar a Memorias webCast Introduccion al analisis y gestión de riesgos (20)

Riesgos y glosario
Riesgos y glosarioRiesgos y glosario
Riesgos y glosario
 
Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
 
03 seguridadeninformaticav1.0
03 seguridadeninformaticav1.003 seguridadeninformaticav1.0
03 seguridadeninformaticav1.0
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
 
03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx03SeguridadenInformaticaV1.0.pptx
03SeguridadenInformaticaV1.0.pptx
 
Presentación análisis y administración de riesgo
Presentación análisis y administración de riesgoPresentación análisis y administración de riesgo
Presentación análisis y administración de riesgo
 
Matriz de Riesgo para una empresa de servicios parte 1.pptx
Matriz de Riesgo para una empresa de servicios parte 1.pptxMatriz de Riesgo para una empresa de servicios parte 1.pptx
Matriz de Riesgo para una empresa de servicios parte 1.pptx
 
Trabajo 2
Trabajo 2Trabajo 2
Trabajo 2
 
Sigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfSigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdf
 
Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
seguridadinformatica
seguridadinformaticaseguridadinformatica
seguridadinformatica
 
seguridadinformatica
seguridadinformaticaseguridadinformatica
seguridadinformatica
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]
 
Gestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaGestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informatica
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
PSI y PCN
PSI y PCNPSI y PCN
PSI y PCN
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones Estratégicas
 
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdfSesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
Sesion 7 - Gestión de Incidentes de Seguridad de la Información.pdf
 

Más de Aranda Software

Memorias webCast Asegure su información con aranda DATA SAFE
Memorias webCast Asegure su información con aranda DATA SAFEMemorias webCast Asegure su información con aranda DATA SAFE
Memorias webCast Asegure su información con aranda DATA SAFEAranda Software
 
Memorias webCast Integración de aplicaciones con web services
Memorias webCast Integración de aplicaciones con web servicesMemorias webCast Integración de aplicaciones con web services
Memorias webCast Integración de aplicaciones con web servicesAranda Software
 
Memorias webCast Gestión de conocimiento con aranda SELF SERVICE
Memorias webCast Gestión de conocimiento con aranda SELF SERVICEMemorias webCast Gestión de conocimiento con aranda SELF SERVICE
Memorias webCast Gestión de conocimiento con aranda SELF SERVICEAranda Software
 
Memorias webCast Centro de Servicios Compartidos
Memorias webCast Centro de Servicios CompartidosMemorias webCast Centro de Servicios Compartidos
Memorias webCast Centro de Servicios CompartidosAranda Software
 
Memorias Webcast Motivadores en proyectos de gestion de activos y servicios IT
Memorias Webcast Motivadores en proyectos de gestion de activos y servicios ITMemorias Webcast Motivadores en proyectos de gestion de activos y servicios IT
Memorias Webcast Motivadores en proyectos de gestion de activos y servicios ITAranda Software
 
Memorias webCast Mejores prácticas en el control de licenciamiento con Aranda...
Memorias webCast Mejores prácticas en el control de licenciamiento con Aranda...Memorias webCast Mejores prácticas en el control de licenciamiento con Aranda...
Memorias webCast Mejores prácticas en el control de licenciamiento con Aranda...Aranda Software
 
Memorias webCast Gestione la configuración de sus activos y mejore los nivele...
Memorias webCast Gestione la configuración de sus activos y mejore los nivele...Memorias webCast Gestione la configuración de sus activos y mejore los nivele...
Memorias webCast Gestione la configuración de sus activos y mejore los nivele...Aranda Software
 
Memorias webCast De la Teoría a la Práctica con Aranda SOFTWARE DELIVERY
Memorias webCast De la Teoría a la Práctica con Aranda SOFTWARE DELIVERYMemorias webCast De la Teoría a la Práctica con Aranda SOFTWARE DELIVERY
Memorias webCast De la Teoría a la Práctica con Aranda SOFTWARE DELIVERYAranda Software
 
Memorias webCast Descubra en la práctica Cómo determinar el Nivel de Madurez ...
Memorias webCast Descubra en la práctica Cómo determinar el Nivel de Madurez ...Memorias webCast Descubra en la práctica Cómo determinar el Nivel de Madurez ...
Memorias webCast Descubra en la práctica Cómo determinar el Nivel de Madurez ...Aranda Software
 
Memorias webCast Tips de configuracion y administracion de soluciones aranda
Memorias webCast Tips de configuracion y administracion de soluciones arandaMemorias webCast Tips de configuracion y administracion de soluciones aranda
Memorias webCast Tips de configuracion y administracion de soluciones arandaAranda Software
 
Memorias Webcast Reconozca los Errores típicos en la adopción de procesos ITIL
Memorias Webcast Reconozca los Errores típicos en la adopción de procesos ITILMemorias Webcast Reconozca los Errores típicos en la adopción de procesos ITIL
Memorias Webcast Reconozca los Errores típicos en la adopción de procesos ITILAranda Software
 
Memorias Webcast Aproveche la información registrada de su infraestructura en...
Memorias Webcast Aproveche la información registrada de su infraestructura en...Memorias Webcast Aproveche la información registrada de su infraestructura en...
Memorias Webcast Aproveche la información registrada de su infraestructura en...Aranda Software
 
Memorias Webcast Aranda FIELD SERVICE
Memorias Webcast Aranda FIELD SERVICEMemorias Webcast Aranda FIELD SERVICE
Memorias Webcast Aranda FIELD SERVICEAranda Software
 
Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI media...
Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI media...Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI media...
Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI media...Aranda Software
 
Memorias Aranda webCast Mejores prácticas para la actualización de las herram...
Memorias Aranda webCast Mejores prácticas para la actualización de las herram...Memorias Aranda webCast Mejores prácticas para la actualización de las herram...
Memorias Aranda webCast Mejores prácticas para la actualización de las herram...Aranda Software
 
Memorias Aranda webCast Actualizando Aranda SOFTWARE
Memorias Aranda webCast Actualizando Aranda SOFTWAREMemorias Aranda webCast Actualizando Aranda SOFTWARE
Memorias Aranda webCast Actualizando Aranda SOFTWAREAranda Software
 
Memorias Aranda webCast
Memorias Aranda webCast Memorias Aranda webCast
Memorias Aranda webCast Aranda Software
 
Memorias Aranda webCast Una alternativa adicional e interesante que te permit...
Memorias Aranda webCast Una alternativa adicional e interesante que te permit...Memorias Aranda webCast Una alternativa adicional e interesante que te permit...
Memorias Aranda webCast Una alternativa adicional e interesante que te permit...Aranda Software
 
Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.
Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.
Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.Aranda Software
 
¿Sabes cuáles son las nuevas funcionalidades que tiene Aranda SERVICE DESK?
¿Sabes cuáles son las nuevas funcionalidades que tiene Aranda SERVICE DESK?¿Sabes cuáles son las nuevas funcionalidades que tiene Aranda SERVICE DESK?
¿Sabes cuáles son las nuevas funcionalidades que tiene Aranda SERVICE DESK?Aranda Software
 

Más de Aranda Software (20)

Memorias webCast Asegure su información con aranda DATA SAFE
Memorias webCast Asegure su información con aranda DATA SAFEMemorias webCast Asegure su información con aranda DATA SAFE
Memorias webCast Asegure su información con aranda DATA SAFE
 
Memorias webCast Integración de aplicaciones con web services
Memorias webCast Integración de aplicaciones con web servicesMemorias webCast Integración de aplicaciones con web services
Memorias webCast Integración de aplicaciones con web services
 
Memorias webCast Gestión de conocimiento con aranda SELF SERVICE
Memorias webCast Gestión de conocimiento con aranda SELF SERVICEMemorias webCast Gestión de conocimiento con aranda SELF SERVICE
Memorias webCast Gestión de conocimiento con aranda SELF SERVICE
 
Memorias webCast Centro de Servicios Compartidos
Memorias webCast Centro de Servicios CompartidosMemorias webCast Centro de Servicios Compartidos
Memorias webCast Centro de Servicios Compartidos
 
Memorias Webcast Motivadores en proyectos de gestion de activos y servicios IT
Memorias Webcast Motivadores en proyectos de gestion de activos y servicios ITMemorias Webcast Motivadores en proyectos de gestion de activos y servicios IT
Memorias Webcast Motivadores en proyectos de gestion de activos y servicios IT
 
Memorias webCast Mejores prácticas en el control de licenciamiento con Aranda...
Memorias webCast Mejores prácticas en el control de licenciamiento con Aranda...Memorias webCast Mejores prácticas en el control de licenciamiento con Aranda...
Memorias webCast Mejores prácticas en el control de licenciamiento con Aranda...
 
Memorias webCast Gestione la configuración de sus activos y mejore los nivele...
Memorias webCast Gestione la configuración de sus activos y mejore los nivele...Memorias webCast Gestione la configuración de sus activos y mejore los nivele...
Memorias webCast Gestione la configuración de sus activos y mejore los nivele...
 
Memorias webCast De la Teoría a la Práctica con Aranda SOFTWARE DELIVERY
Memorias webCast De la Teoría a la Práctica con Aranda SOFTWARE DELIVERYMemorias webCast De la Teoría a la Práctica con Aranda SOFTWARE DELIVERY
Memorias webCast De la Teoría a la Práctica con Aranda SOFTWARE DELIVERY
 
Memorias webCast Descubra en la práctica Cómo determinar el Nivel de Madurez ...
Memorias webCast Descubra en la práctica Cómo determinar el Nivel de Madurez ...Memorias webCast Descubra en la práctica Cómo determinar el Nivel de Madurez ...
Memorias webCast Descubra en la práctica Cómo determinar el Nivel de Madurez ...
 
Memorias webCast Tips de configuracion y administracion de soluciones aranda
Memorias webCast Tips de configuracion y administracion de soluciones arandaMemorias webCast Tips de configuracion y administracion de soluciones aranda
Memorias webCast Tips de configuracion y administracion de soluciones aranda
 
Memorias Webcast Reconozca los Errores típicos en la adopción de procesos ITIL
Memorias Webcast Reconozca los Errores típicos en la adopción de procesos ITILMemorias Webcast Reconozca los Errores típicos en la adopción de procesos ITIL
Memorias Webcast Reconozca los Errores típicos en la adopción de procesos ITIL
 
Memorias Webcast Aproveche la información registrada de su infraestructura en...
Memorias Webcast Aproveche la información registrada de su infraestructura en...Memorias Webcast Aproveche la información registrada de su infraestructura en...
Memorias Webcast Aproveche la información registrada de su infraestructura en...
 
Memorias Webcast Aranda FIELD SERVICE
Memorias Webcast Aranda FIELD SERVICEMemorias Webcast Aranda FIELD SERVICE
Memorias Webcast Aranda FIELD SERVICE
 
Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI media...
Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI media...Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI media...
Memorias Webcast Facilitando el Gobierno Corporativo y el Control de TI media...
 
Memorias Aranda webCast Mejores prácticas para la actualización de las herram...
Memorias Aranda webCast Mejores prácticas para la actualización de las herram...Memorias Aranda webCast Mejores prácticas para la actualización de las herram...
Memorias Aranda webCast Mejores prácticas para la actualización de las herram...
 
Memorias Aranda webCast Actualizando Aranda SOFTWARE
Memorias Aranda webCast Actualizando Aranda SOFTWAREMemorias Aranda webCast Actualizando Aranda SOFTWARE
Memorias Aranda webCast Actualizando Aranda SOFTWARE
 
Memorias Aranda webCast
Memorias Aranda webCast Memorias Aranda webCast
Memorias Aranda webCast
 
Memorias Aranda webCast Una alternativa adicional e interesante que te permit...
Memorias Aranda webCast Una alternativa adicional e interesante que te permit...Memorias Aranda webCast Una alternativa adicional e interesante que te permit...
Memorias Aranda webCast Una alternativa adicional e interesante que te permit...
 
Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.
Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.
Memorias Aranda webCast Estandarizando la Gestión de Servicios TI con ISO 20000.
 
¿Sabes cuáles son las nuevas funcionalidades que tiene Aranda SERVICE DESK?
¿Sabes cuáles son las nuevas funcionalidades que tiene Aranda SERVICE DESK?¿Sabes cuáles son las nuevas funcionalidades que tiene Aranda SERVICE DESK?
¿Sabes cuáles son las nuevas funcionalidades que tiene Aranda SERVICE DESK?
 

Memorias webCast Introduccion al analisis y gestión de riesgos

  • 1. Luis Carlos Arbesú Consultor de Preventa Especialista en Seguridad
  • 2. Agenda • Introducción • Riesgo • Análisis de Riesgos • Metodologías para el Análisis y Gestión de Riesgos • Metodología NIST 800-30 • Manejo de Riesgos • Resumen • Riesgo Residual
  • 3. EL PROBLEMA: • Darse cuenta que pasa, hasta que pasa. • Cuantificarlos económicamente, por ejemplo: ¿cuánto le cuesta a la compañía su base de datos? • Vincular directamente sus efectos sobre los resultados de la compañía LA SOLUCIÓN: • No es invertir gran cantidad de dinero. • Buenas prácticas administración y control. • Medición – auditoria – informática Introducción
  • 4. Es el potencial que dada una amenaza, esta explote una vulnerabilidad de un activo o de un grupo de activos y de esta forma cause daño en la organización Riesgo
  • 5. Es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir. Análisis de Riesgos
  • 6. Metodologías para el Análisis y Gestión de Riesgos Citicus One CRAMM: “CCTA Risk Assessment and Management Methodology” ISO/IEC 27005 MAGERIT OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) NIST SP 800-39 NIST SP 800-26/30 Mehari AS/NZS
  • 7. Metodologías para el Análisis y gestión de Riesgos Estas metodologías de análisis y gestión del riesgo hacen parte del ciclo de mejor continua PHVA dentro del SGSI
  • 8. El National Institute of Standards and Technology (NIST), fundado en 1901, es un organismo federal no regulador que forma parte de la Administración de Tecnología (Technology Administration) del Departamento de Comercio (Department of Commerce) de los EE.UU. La misión del NIST consiste en elaborar y promover patrones de medición, normas y tecnología con el fin de incrementar la productividad, facilitar el comercio y mejorar la calidad de vida. NIST 800-30 Guía de Gestión de Riesgos de los Sistemas de Tecnología de la Información NIST 800
  • 10. Caracterización del sistema ENTRADAS • Activos de la organización • Hardware • Software • Interfaces del sistema • Información • Personas • Misión del sistema SALIDAS • Caracterización de los sistemas de IT evaluados • Definir el alcance del análisis de riesgos Toda esta información se puede obtener a partir de cuestionarios, reuniones en sitio, herramientas automáticas de escaneo, etc.
  • 11. Identificación de Amenazas • Potencial de que una fuente de amenazas se aproveche o explote una vulnerabilidad especifica accidental o intencionalmenteAmenaza • Intención o método que puede explotar una vulnerabilidad. Estas pueden ser naturales, humanas, del ambiente, etc. Fuente de Amenazas • Falla o debilidad en los sistemas de seguridad de un sistema, diseño, implementación, control interno, etc., que puede ser aprovechada y resultar en una violación de la política de seguridad del sistema Vulnerabilidad
  • 12. Identificación de Amenazas Hacker, Cracker Criminales Terroristas Espionage Industrial o Intereses Extrangeros Interno (Empleados enojados, descuidados) Desastres Naturales
  • 13. Identificación de Vulnerabilidades Evaluaciones previas de riesgos Reportes de auditoria, reportes de revisión de la seguridad y reportes de evaluación y pruebas de sistemas Listas de vulnerabilidades (NIST I-CAT) Advertencias de seguridad (Federal Computer Incident Response Capability FedCIRC) Advertencias de vendedores Análisis de Vulnerabilidades y Pentesting Reportes de anomalias del sistema
  • 14. Análisis de Controles Los controles pueden ser extrapolados de: - Políticas y guías de seguridad - Procedimientos de operación de los sistemas - Especificaciones de seguridad del sistema - Estándares y buenas practicas Controles Técnicos - Preventivos - Control de acceso - Antivirus - Mecanismos de identificación y autenticación - Firewalls - Encripción - Detectivos - Logs - IDS
  • 15. Análisis de Controles Controles Operacionales (personal, seguridad física, etc.) - Preventivos Entrenamiento y conciencia de la seguridad Planes de contingencia, recuperación y emergencias - Detectivos Revisiones de seguridad y auditorias Investigaciones Controles administrativos - Revisiones de auditorias - Evaluaciones de riesgos - Reglas de comportamiento
  • 16. Probabilidad de Ocurrencia • La fuente esta altamente motivada y es lo suficientemente capaz y los controles no son efectivosAlta • La fuente esta altamente motivada y es lo suficientemente capaz y los controles son efectivos.Media • La fuente no tiene motivación o capacidad o existen controles para prevenir, impedir significativamenteBaja
  • 17. Análisis de Impactos • La integridad se pierde si cambios no autorizados son realizados al sistema o a los datos accidental o intencionalmente. Puede causar impacto similar a la perdida de disponibilidad. Puede ser el primer paso hacia una perdida de disponibilidad o confidencialidad Integridad • SI el sistema esta parcial o completamente no disponible para los usuarios autorizados puede afectarse la misión de la organización Disponibilidad • Protección de la información contra divulgaciones no autorizadas. Confidencialidad
  • 19. Determinación del Riesgo Riesgo = Probabilidad X Impacto Probabilidad: Probabilidad de ocurrencia de un incidente o fallo en un periodo de tiempo determinado. Impacto: Impacto asociado a la ocurrencia de un incidente o fallo. Incluye pérdidas económicas, en productividad, en desempeño, en imagen organizacional, etc. y usualmente se expresa en dinero.
  • 21. - Implementación de controles - Documentación de amenazas, vulnerabilidades, riesgos
  • 22. Manejo de Riesgos • Eliminar la amenaza quitando la falla o vulnerabilidad Eliminarlo • Implementar controles que restringen el impacto de una amenaza Reducirlo • Pagándole a un tercero para que el asuma el riesgo por mi Transferirlo • El nivel de riesgo es muy bajo y cuesta mas la implementación del control que las repercusiones económicas. Aceptarlo
  • 23. Diseno sistema Activo Falla o debilidad? Explotable? Existe vulnerabilidad? & No hay riesgo No hay riesgo Existe amenaza Motivacion? Perdida considerable? Riesgo inaceptable Acepta riesgo Acepta riesgo Si No No No No Si SiSi Controles Riesgo Residual Resumen
  • 24. Es el riesgo latente luego de aplicar los controles apropiados Riesgo Residual