Documente Academic
Documente Profesional
Documente Cultură
METODOLOGÍA OWASP
About Me
• alvaro_machaca@hotmail.com
• alvaro.machaca@bo.ey.com
• https://bo.linkedin.com/pub/alvaro-machaca-tola/42/85b/7
¿Dónde se encuentra el Riesgo?
Riesgos en la Empresa
Riesgos
Operacionales
Riesgos de
Mercado
Riesgo Tecnológico
Es la probabilidad de sufrir
pérdidas por caídas o fallos
en los sistemas informáticos o
transmisión de datos, errores
de programación u otros,
siendo un componente del
riesgo operativo.
recomendable el calculo
cuantitativo.
Agentes de Amenaza
• Penetration tester (1)
• Redes y Programación (3) • Baja o sin motivación (1)
• Usuario avanzado en computación • Algo de interés (4)
(4)
• Bastante interesado (9)
• Habilidades técnicas medias (6)
• No cuenta con habilidades Habilidades
técnicas (9) Motivación
Técnicas
Oportunidad Tamaño
• Acceso total (0) • * Desarrolladores (2)
• Acceso especial (4) • Administradores de sistemas (2)
• Algunos accesos (7) • Usuarios internos (4)
• Socios de negocio (5)
• Sin acceso (9)
• Usuarios autenticados (6)
• Anónimos (9)
Vulnerabilidades
• Dificultad alta (1) • Complejo (1)
• Dificultad media (3) • Dificultad media (3)
• Sencilla (7) • Sencilla (5)
• Herramientas automatizadas • Herramientas automatizadas
disponibles (9)
disponibles (9)
Facilidad de Facilidad de
Descubrimiento Explotación
Conciencia o Detectores de
Conocimiento Intrusión
• Desconocido (1)
• Medianamente conocido (4) • Detección activa en la
• Común (6) aplicación (1)
• De conocimiento público (9) • Autenticado y monitoreado (3)
• Autenticado sin monitoreo (8)
• No autenticado (9)
Estimar el Impacto
Impacto Técnico.
Pérdida de Pérdida de
• Mínima (servicios no críticos) (1) Disponibilidad Auditabilidad
• Mínima (servicios críticos) (5) • Totalmente auditable (1)
• Considerable (servicios no críticos) • Posiblemente auditable (7)
(5) • No auditable (9)
• Considerable (servicios críticos) (7)
• Pérdida total de los servicios (9)
Impacto en el Negocio
• Menor que el costo de la solución • Daño mínimo (1)
total (1) • Pérdida de grandes cuentas (4)
• Efecto menor en el costo anual (3)
• Pérdida de credibilidad a gran
• Efecto significante en el costo escala (5)
anual (7)
• Daño total de imagen (9)
• Efecto devastador (bancarrota) (9) Daño Daño de
Económico Imagen
No Violación a la
cumplimiento Privacidad
• Mínimo (2)
• Medio (5) • Una persona (3)
• Alto (7) • Cientos de personas (5)
• Miles de personas (7)
• Millones de personas (9)
Determinar la Severidad del Riesgo
Variables de agentes
de amenaza
y
Variable de factores
de vulnerabilidad
8
Ejemplo – Cálculo del Impacto
Variables de Impacto
técnico
Variables de Impacto
sobre el negocio
4
Resultado
http://paradoslabs.nl/owaspcalc/
Priorizar Planes de Acción