“Año del Dialogo y la Reconciliación Nacional”

INSTITUTO DE EDUCACIÓN SUPERIOR

TECNOLÓGICO PÚBLICO

“JOAQUÍN REÁTEGUI MEDINA”

COMPUTACIÓN E INFORMÁTICA

TEMA :

 Análisis de Riesgos

ALUMNO :

 Perci Carlos Shupingahua Greffa

CURSO :

 Integración de las Tecnologías de la Información y

Comunicación TIC’s

DOCENTE :

 Ing. José D. Loayza Chávez

NAUTA – LORETO – PERÚ

2018
 ANÁLISIS DE RIESGOS

El análisis de riesgos informáticos es un proceso que comprende la identificación de

activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran
expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de
determinar los controles adecuados para aceptar, disminuir, transferir o evitar la
ocurrencia del riesgo.
Este análisis permitirá estimar la magnitud del impacto del riesgo a que se encuentra
expuesta mediante la aplicación de controles. Dichos controles, para que sean efectivos,
deben ser implementados en conjunto formando una arquitectura de seguridad con la
finalidad de preservar las propiedades de confidencialidad, integridad y disponibilidad
de los recursos objetos de riesgo.
El proceso de análisis de riesgo genera habitualmente un documento al cual se le
conoce como matriz de riesgo. Como se describe en el BS ISO/ IEC 27001:2005, la
evaluación del riesgo incluye las siguientes acciones y actividades.

 Identificación de los activos

 Identificación de los requisitos legales y de negocios que son relevantes para la

identificación de los activos

 Valoración de los activos identificados

 Teniendo en cuenta los requisitos legales identificados de negocios y el impacto

de una pérdida de confidencialidad, integridad y disponibilidad.

 Identificación de las amenazas y vulnerabilidades importantes para los activos

identificados.

 Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.

 Cálculo del riesgo.

 Evaluación de los riesgos frente a una escala de riesgo preestablecidos '

ELEMENTOS

 Activo. Es un objeto o recurso de valor empleado en una empresa u

organización

 Amenaza. Es un evento que puede causar un incidente de seguridad en una

empresa u organización produciendo pérdidas o daños potenciales en sus
activos.

 Vulnerabilidad. Es una debilidad que puede ser explotada con la materialización

de una o varias amenazas a un activo.

 Riesgo. Es la probabilidad de ocurrencia de un evento que puede ocasionar un

daño potencial a servicios, recursos o sistemas de una empresa.
  Análisis. Examinar o descomponer un todo detallando cada uno de los
elementos que lo forman a fin de terminar la relación entre sus principios y
elementos.

 Control. Es un mecanismo de seguridad de prevención y corrección empleado

para disminuir las vulnerabilidades

Regulaciones y Normas que tratan el riesgo

 Comunicación “A” 4609 del BCRA para entidades Financieras

Requisitos mínimos de gestión, implementación y control de los riesgos

relacionados con tecnología informática y sistemas de información.

 ISO/IEC 27001

Especifica los requisitos necesarios para establecer, implantar, mantener y

mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI)

 ISO/IEC 27005

Esta Norma proporciona directrices para la Gestión del riesgo de Seguridad de

la Información en una Organización. Sin embargo, esta Norma no proporciona
ninguna metodología específica para el análisis y la gestión del riesgo de la
seguridad de la información.

 Basilea II

Estándar internacional que sirva de referencia a los reguladores bancarios, con

objeto de establecer los requerimientos de capital necesarios, para asegurar la
protección de las entidades frente a los riesgos financieros y operativos.
 Ley Sarbanes Oxley (SOX)

Impulsada por el gobierno norteamericano como respuesta a los megos fraudes

corporativos que impulsaron Enron, Tyco International, WorldCom y Peregrine
Systems. Es un conjunto de medidas tendientes a asegurar la efectividad de los
controles internos sobre reportes financieros.

 PCI DSS

Impulsada por las principales marcas de tarjetas de pago, este estándar busca
garantizar la seguridad de los datos de titulares de tarjetas de pago en su
procesado, almacenamiento y transmisión.

Metodologías de Análisis de Riesgos

 ITIL: Information Technology Infraestructure Library “proporciona un

planteamiento sistemático para la provisión de servicios de TI con calidad”. (Jan
van Bon, 2008)
  COBIT 5: Significa (Objetivos de control para la información y tecnologías
relacionadas) es una metodología publicada en 1996 por el Instituto de Control
de TI y la ISACA (Asociación de Auditoría y Control de Sistemas de Información).

 ISO 31000: Esta normativa establece principio y guías para diseñar, implementar
mantener la gestión de los riesgos en forma sistemática y de transparencia de
toda forma de riesgo, por ejemplo: financiera, operativa, de mercadeo, de
imagen, y de seguridad de información.

 Citicus One: software comercial de Citicus, implementa el método FIRM del Foro
de Seguridad de la Información;

 CRAMM: “CCTA Risk Assessment and Management Methodology” fue

originalmente desarrollado para uso del gobierno de UK pero ahora es propiedad
de Siemens;

 ISO TR 13335: fue el precursor de la ISO/IEC 27005;

 MAGERIT “Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información” está disponible tanto en español como en inglés.

 OCTAVE: “Operationally Critical Threat, Asset, and Vulnerability Evaluation”

Metodología de Análisis y Gestión de Riesgos desarrollada por el CERT;

 NIST SP 800-39 “Gestión de Riesgos de los Sistemas de Información, una

perspectiva organizacional”;

 NIST SP 800-30: Guía de Gestión de Riesgos de los Sistemas de Tecnología de

la Información, es gratuito;

 Mehari: Método de Gestión y Análisis de Riesgos desarrollado por CLUSIF (Club

de la Sécurité de l'Information Français);

 AS/NZS: Norma de Gestión de Riesgos publicada conjuntamente por Australia y

Nueva Zelanda y ampliamente utilizada en todo el mundo.

Puesta en marcha de una política de seguridad

Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos

y recursos con las herramientas de control y mecanismos de identificación. Estos
mecanismos permiten saber que los operadores tienen sólo los permisos que se les dio.
La seguridad informática debe ser estudiada para que no impida el trabajo de los
operadores en lo que les es necesario y que puedan utilizar el sistema informático con
toda confianza. Por eso en lo referente a elaborar una política de seguridad, conviene:

 Elaborar reglas y procedimientos para cada servicio de la organización.

 Definir las acciones a emprender y elegir las personas a contactar en caso de

detectar una posible intrusión
  Sensibilizar a los operadores con los problemas ligados con la seguridad de los
sistemas informáticos.

Los derechos de acceso de los operadores deben ser definidos por los responsables
jerárquicos y no por los administradores informáticos, los cuales tienen que conseguir
que los recursos y derechos de acceso sean coherentes con la política de seguridad
definida. Además, como el administrador suele ser el único en conocer perfectamente
el sistema, tiene que derivar a la directiva cualquier problema e información relevante
sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, así como
ser el punto de entrada de la comunicación a los trabajadores sobre problemas y
recomendaciones en término de seguridad informática.