Documente Academic
Documente Profesional
Documente Cultură
El anlisis del riesgo debe ser un ciclo continuo debido al rpido avance de las TIC.
Datos e informacin.
Impacto econmico en el
Inversin mxima
Riesgos Tipo de amenaza peor escenario (prdidas
recomendada (anual)
anuales)
Por parada en el servicio
90 Destruccin fsica/lgica 90% de X
y/o prdida de imagen: X
Incapacidad de acceder a la
Por descontrol de los
64 informacin acerca de los 64% de Y
procesos de venta: Y
clientes
Por daos al cliente y/o
56 Actuacin maliciosa 56 % de Z
prdida de imagen: Z
El anlisis de vulnerabilidades pasa por ser uno de los pasos crticos para la
evaluacin del riesgo, se utilice la metodologa que se utilice siempre es necesario. De
hecho para cualquier plan director de seguridad o iniciativa de fortificacin, se trata
del punto de partida, hay que saber qu vulnerabilidades presentan nuestros activos en el
presente. Dado lo rpido que caducan estos procesos, debemos hablar de un ciclo
continuo de anlisis. Podemos clasificar los diferentes anlisis en tres grandes bloques:
Caja negra: El auditor o analista trabaja sin conocimiento previo del objetivo,
se simula un ataque real y se evala el comportamiento del sistema desde fuera. Es
posible identificar sntomas, pero no causas, dando lugar a un gran nmero de
falsos negativos (no detectar como un problema algo que realmente s lo es).
Caja blanca: Se basa en un conocimiento completo del objetivo por parte del
auditor o analista. En este caso, se identifican los orgenes de posibles
vulnerabilidades (debilidades), si bien es posible que se generen gran nmero de
falsos positivos (detectar como un problema algo que realmente no lo es).
Caja gris: Se trata de una solucin intermedia que intenta combinar los
beneficios de los dos mtodos anteriores, el auditor o analista no trabaja a ciegas
pero tampoco con el 100% de la informacin acerca de los activos analizados.