Sunteți pe pagina 1din 17
Análisis del Riesgo Denys A. F ores, Ing., MSc. Quito, 6 de marzo de 2013
Análisis del Riesgo
Denys A. F ores, Ing., MSc.
Quito, 6 de marzo de 2013
l

Generalidades

Involucra el esfuerzo de una o más personas Analiza eventos de riesgo futuros Los riesgos están atados a los objetivos de alcance, tiempo, costo y calidad Un riesgo puede tener una o más causas

Requerimiento Suposiciones Restricción Condición E.g., Requerir permiso ambiental, contar con limitado personal

Generalidades

Un riesgo puede tener uno o más impactos

Costar mas Tiempo de solución Reestructurar infraestructura

Nace de la incertidumbre presente en cualquier proyecto, infraestructura, solución, etc.

Análisis de Riesgo

Reuniones de análisis con los miembros del CSIRT Establecer un plan de alto nivel para gestionar riesgos Asignar responsabilidades Asignar presupuesto Crear plantillas que consideren:

Categorías de Riesgo Niveles de Riesgo Probabilidad por Tipo de Riesgo Impacto por tipo de Objetivos Matriz de Impacto y Probabilidad

Análisis de Riesgo

Definir la metodología de análisis de riesgo

Enfoques, herramientas, fuentes de datos

Definir Roles y Responsabilidades

Líder, apoyos y funciones de los miembros del CSIRT Para cada actividad definida en el plan de gestión de riesgos

Presupuestar y asignar recursos Establecer la frecuencia con que se va a ejecutar y revisar el plan

Análisis de Riesgo

RiskRisk BreakdownBreakdown StructureStructure (RBS)(RBS)
RiskRisk BreakdownBreakdown StructureStructure (RBS)(RBS)
TécnicosTécnicos
TécnicosTécnicos
StructureStructure (RBS)(RBS) TécnicosTécnicos RequerimientosRequerimientos TTecnologíaecnología

RequerimientosRequerimientos

(RBS)(RBS) TécnicosTécnicos RequerimientosRequerimientos TTecnologíaecnología Complejidad, Complejidad,
TTecnologíaecnología
TTecnologíaecnología
Complejidad, Complejidad, Infraestructura Infraestructura
Complejidad,
Complejidad,
Infraestructura
Infraestructura
Desempeño y Desempeño y Confiabilidad Confiabilidad
Desempeño y
Desempeño y
Confiabilidad
Confiabilidad
CalidadCalidad
CalidadCalidad
ExternosExternos
ExternosExternos
Proveedores, Proveedores, Outsourcing, Outsourcing, Cloud Cloud
Proveedores,
Proveedores,
Outsourcing,
Outsourcing,
Cloud
Cloud
Regulatorios, Regulatorios, Legales Legales
Regulatorios,
Regulatorios,
Legales
Legales
MercadoMercado
MercadoMercado
ClienteCliente
ClienteCliente
Medio Medio Ambientales Ambientales
Medio
Medio
Ambientales
Ambientales

OrganizacionalesOrganizacionales

DependenciasDependencias
DependenciasDependencias
RecursosRecursos
RecursosRecursos
MonetariosMonetarios
MonetariosMonetarios
PrioridadesPrioridades
PrioridadesPrioridades
AdministrativosAdministrativos
AdministrativosAdministrativos

EstimaciónEstimación

PlaneaciónPlaneación

ControlControl

ComunicaciónComunicación

Análisis de Riesgo

Objetivos del Servicio y/o Aplicación

Confidencialidad Disponibilidad Integridad Recuperación de Errores Tolerancia a Fallos Calidad

Análisis de Riesgo

Técnicas de Identificación

Revisar documentos del plan

Recolección de Información

Lluvia de Ideas – Brainstorming

Técnica Delphi – Rondas de Validación

Entrevistas

Checklists – Conocimiento Previo

Análisis de Riesgo

Técnicas de Identificación

Análisis de Supuestos – Escenarios que buscan inexactitud, inestabilidad, inconsistencia o incompletitud de los escenarios

Diagramas

Causa Efecto

Digramas de Flujo de Procesos o Sistemas

Diagramas de Influencia

Análisis FODA

Jucio Experto

Análisis de Riesgo Cualitativo

Priorizar riesgos para análisis más profundo

Mediante su probabilidad e impacto

Se enfoca luego en el establecimiento de contingencias para riesgos de alta amenaza

Se evalua considerando los objetivos del servicio o aplicación

Confidencialidad Disponibilidad Integridad Recuperación de Fallos Calidad

Es rápido y efectivo en costo para establecer contingencias

Análisis de Riesgo Cualitativo Evaluación de Amenazas Riesgo 1: Reducción del Ancho de Banda durante
Análisis de Riesgo Cualitativo
Evaluación de Amenazas
Riesgo 1: Reducción del Ancho de Banda durante horas laborables
Bajo
Medio
Alto
Confidencialidad
Sin problema transaccional
40% de transacciones no completadas
Más del 80% de
transacciones no
completadas
Disponibilidad
No hay interrupciones de servicio
35% de los usuarios no tienen Internet
Más del 40% de usuarios no
tienen Internet
Integridad
90% de throughput sin
retransmisión
80% de throughput sin retransmisión
60% de throughput sin
retransmisión
Recuperación de
Fallos
No hay sesiones caídas
60% de sesiones activas
50% de sesiones
Calidad
No hay latencia
2 segundos de latencia
Más de 4 segundos de
latencia
Análisis de Riesgo Cualitativo Evaluación de Impacto Probabilidad Amenazas 90% 5% 9% 18% 36% 42%
Análisis de Riesgo Cualitativo
Evaluación de Impacto
Probabilidad
Amenazas
90%
5%
9%
18%
36%
42%
50%
85%
90%
70%
52%
50%
68%
30%
85%
10%

Análisis de Riesgo Cuantitativo

Evaluación numérica de la probabilidad, impacto y amenaza de los riesgos Se realiza sobre los riesgos priorizados en el proceso cualitativo por su impacto Analiza los efectos de estos riesgos Generalmente se lo hace luego del análisis cualitativo A veces no requiere hacerlo, depende de el alcance, tiempo y costo invertido en identificar riesgos

Análisis de Riesgo Cuantitativo

Entradas:

Plan de Gestión de Riesgo

Activos de Información

Riesgos identificados

Análisis de Riesgo Cuantitativo

Entradas:

Plan de Gestión de Riesgo

Activos de Información

Riesgos identificados

Análisis de Riesgo Cuantitativo

Técnicas de Análisis

Análisis de Sensibilidad – Diagramas Tornado

Costo/Beneficio

Matriz cuantitativa de impacto y probabilidad

Monitoreo y Control de Riesgo

Monitoreo y Control de Riesgo