Documente Academic
Documente Profesional
Documente Cultură
NIST SP 800-30
La Metodología de Gestión de
Riesgos de los sistemas de
Información, tiene como objetivo
primordial la evaluación de los
riesgos que soportan los Sistemas
de Información.
OBJETIVOS
Identificación
Caracterización Identificación de
del Sistema de Amenazas Vulnerabilidade
s
SP 800-30
Determinación
Análisis de Análisis del
de
Controles Impacto
Probabilidad
Documentació
Determinación Recomendacio
n de
del Riesgo nes de Control
Resultados
FASE DE CARACTERIZACION DEL
SISTEMA
IDENTIFICACION DE LA INFORMACION
RELACIONADA CON EL SISTEMA
Interfaces de sistema
Datos e información
Flujo de la información
perteneciente al sistema de TI
TECNICAS PARA LA OBTENCION DE
INFORMACION
Entrevistas
• Escritos locales • Revisar y verificar
• Orales cada entregable
• Aplicación de cada
para evitar errores
fase de la
en la redacción
metodología
• Gerencia
Revisión de
cuestionarios
documentacion
FASE DE IDENTIFICACION DE AMENAZAS
Robo de información
FUENTE DE Hacker, Cracker Hacking, Ingeniería social,
Intrusiones al sistema
AMENAZAS
Criminal de Destrucción de la Crímenes computacionales,
COMUNES computación información Actos fraudulentos (Por ej.
Ganancia monetaria Duplicación, robo de
Alteración de datos no identidad), Soborno de
• Amenazas Naturales autorizado información
• Amenazas Humanas Destrucción Bomba/Terrorismo, Guerra de
• Amenazas Ambientales Terrorista Explotación la información, Ataque al
sistema
RESULTADOS
El resultado de la fase de
Identificación de Vulnerabilidades
es una lista de las vulnerabilidades
del sistema que podrían ser
ejercidas por las fuentes de
amenaza potenciales.
FASE DE ANALISIS DE CONTROLES
El objetivo de este paso es analizar los controles que han sido puestos en
práctica, o son planeados por la organización para reducir al mínimo la
probabilidad de ejercer una amenaza sobre las vulnerabilidades del sistema.
protecciones incorporadas en el hardware, software,
Técnicos
o programas fijos
Métodos de Control
Para obtener la probabilidad de que una potencial vulnerabilidad pueda ser ejecutada en un
ambiente de amenazas, los siguientes factores principales deben ser considerados:
Capacidad y Motivación de la fuente de amenaza, Naturaleza de la vulnerabilidad, Existencia y
eficacia de controles actuales.
NIVELES DE PROBABILIDAD
Nivel de Probabilidad Definición de la Probabilidad
La fuente de amenazas es altamente motivada y
Alta
suficientemente capaz de ser ejecutada, y los controles
para prevenir esta probabilidad son
realizados pero no efectivos.
La fuente de amenaza es motivada y capaz, pero los
Media
controles aplicados pueden dificultar la ejecución
exitosa de la vulnerabilidad
La fuente de amenaza es pobremente motivada, existe
Baja controles realizados para prevenir las amenazas, existe
dificultad para la ejecución de la
vulnerabilidad
FASE DE ANALISIS DE IMPACTO
Dentro de la medición
del nivel de riesgo es
importante determinar
el impacto adverso,
Misión de sistema
resultado de la (procesos Sistema y
ejecución exitosa de realizados por el Sistema y datos sensibilidad de
una amenaza sobre la sistema de datos
información)
organización
FASE DE DETERMINACION DEL
RIESGO
El objetivo de este paso es de evaluar el nivel de riesgo en el sistema
de información
La determinación de riesgo para una amenaza/vulnerabilidad
particular puede ser expresada como una función de:
La determinación
La probabilidad del La magnitud del
de controles de
intento de impacto
seguridad
ejecución de una determinado de
planeados o
fuente de amenaza una fuente de
existentes para
dada sobre una amenaza ejecutada
reducir o eliminar el
vulnerabilidad. exitosamente.
riesgo.
DESCRIPCION DEL NIVEL DE RIESGO
Nivel de Riesgo Descripción del riesgo y acciones necesarias
Si se evalúa un riesgo como alto, existe la necesidad de
Alto
aplicar medidas correctivas. Un sistema de información
puede continuar operando, pero el plan de acciones
correctivas debe ser puesto en práctica tan pronto como
sea posible.
Cambios en la Sistema
política presupuesto gestión de la
operacional
seguridad