Pilar analisis de riesgo
-
Upload
universidad-tecnologica-de-panama -
Category
Technology
-
view
788 -
download
0
Transcript of Pilar analisis de riesgo
PILARPILARPROCEDIMIENTO INFORMÁTICO LÓGICO DE ANÁLISIS DE RIESGOS
SOFTWARE DE ANALISIS DE RIESGOS Y AYUDA DE DECTECCION DE VULNERABILIDADES
PRESENTADO POR:
DAVID ORTEGAEMILIO BATISTA HIMLAURA ROSASROBERTO QUIROZJOSÉ RAMEA
MGTR: VIEIRA GONZALEZ
PROCEDIMIENTO INFORMÁTICO LÓGICO DE ANÁLISIS DE RIESGOS
SOFTWARE DE ANALISIS DE RIESGOS Y AYUDA DE
PILARPILARPROCEDIMIENTO INFORMÁTICO LÓGICO DE ANÁLISIS DE RIESGOSPROCEDIMIENTO INFORMÁTICO LÓGICO DE ANÁLISIS DE RIESGOS
PILARPILAR
• Consiste en una aplicación informáticasus relaciones de interdependencia yel sistema, permite introducir las amenazasdisponibilidad, integridad, confidencialidad,para derivar los riesgos potenciales sobre
• Una vez conocidos los riesgos, sesalvaguardas y estimar el riesgo residualproceso continuo y recurrente en elmejorando regularmente para afrontarconfianza que el sistema merece para
informática que compila los activos del sistema,su valor para la organización. Conocido
amenazas posibles en los aspectos deconfidencialidad, autenticidad y trazabilidad,
sobre el sistema.
se pueden determinar una serie deresidual. En tratamiento del riesgo es un
el que el sistema de potección se vaafrontar nuevos riesgos y aumentar la
los responsables y los usuarios.
3
ANÁLISIS CUALITATIVO EN PILARANÁLISIS CUALITATIVO EN PILAR
PILAR puede realizar un análisis cualitativo,discretos para la valoración de losrecomienda siempre en primer lugar,cuantitativo detallado. Un análisis cualitativo
• Identificar los activos más significativos
• Identificar el valor relativo de los activos
• Identificar las amenazas más relevantes
• Identificar las salvaguardas presentes en el
• establecer claramente los activos críticos (los que están sujetos a un riesgo máximo)
ANÁLISIS CUALITATIVO EN PILARANÁLISIS CUALITATIVO EN PILAR
cualitativo, usando una serie de niveleslos activos. Un análisis cualitativo se
lugar, antes de que se intente un análisiscualitativo permite:
significativos
activos
relevantes
las salvaguardas presentes en el sistema
claramente los activos críticos (los que están sujetos a un riesgo
4
ANÁLISIS CUANTITATIVO EN PILARANÁLISIS CUANTITATIVO EN PILAR
PILAR puede realizar un análisis cuantitativo detallado
• Detalla las consecuencias económicas de la materialización de una amenaza en un activo
• Estima la tasa anual de ocurrencia de amenazas
• Detalla el coste de despliegue y mantenimiento de las salvaguardas
• Permite ser más preciso en la planificación de gastos de cara a un plan de mejora de seguridad
ANÁLISIS CUANTITATIVO EN PILARANÁLISIS CUANTITATIVO EN PILAR
PILAR puede realizar un análisis cuantitativo detallado:
las consecuencias económicas de la materialización de una amenaza en un
amenazas
Detalla el coste de despliegue y mantenimiento de las salvaguardas
Permite ser más preciso en la planificación de gastos de cara a un plan de mejora de
5
AMENAZAS EN PILARAMENAZAS EN PILARModelo de Amenazas:
• Se denomina modelo de amenazas a la terminología utilizada para concretar la valoración de las amenazas: probabilidad y degradación
• La probabilidad de una amenaza es un asunto difícil de explicar. PILAR permite varias maneras de plasmar las posibilidades que una amenaza
Video de 15 minutos , https://www.youtube.com/watch?v=EgiYIIJ8WnU
Se denomina modelo de amenazas a la terminología utilizada para concretar la valoración de las amenazas: probabilidad y degradación.
La probabilidad de una amenaza es un asunto difícil de explicar. PILAR permite varias maneras de plasmar las posibilidades que una amenaza tiende de ocurrir.
, https://www.youtube.com/watch?v=EgiYIIJ8WnU
6
PROCEDIMIENTOS DE SEGURIDAD EN PILARPROCEDIMIENTOS DE SEGURIDAD EN PILAR
Cada sistema requiere procedimientos de seguridad. Es decir, instrucciones claras en cómo proceder para las actividades rutinarias, y cómo escalar lo que no está escrito.
Es decir, cada procedimiento determina
• Quién debe
• hacer qué,
• Cuándo,
• Y qué registro debe dejar tras de sí la actuación
Los procedimientos pueden ser más o menos eficaces en cada fase del proyecto.
PROCEDIMIENTOS DE SEGURIDAD EN PILARPROCEDIMIENTOS DE SEGURIDAD EN PILAR
Cada sistema requiere procedimientos de seguridad. Es decir, instrucciones claras en cómo proceder para las actividades rutinarias, y cómo escalar lo que no está escrito.
• Y qué registro debe dejar tras de sí la actuación.
Los procedimientos pueden ser más o menos eficaces en cada fase del proyecto.
7
NIVELES DE VALORACIÓN
• Los activos y los impactos se valoran cualitativamente según una escala de 0 hasta 10.Los criterios asociados a cada nivel (es decir, argumentos que se pueden utilizar para establecer cierto nivel) se pueden consultar sobre las pantallas. Sin embargo, el resumen siguiente puede ayudar a encontrar el nivel correcto:
NIVELES DE VALORACIÓN
8
NIVELES DE MADUREZ EN PILARNIVELES DE MADUREZ EN PILAR
PILAR utiliza niveles de madurez para evaluar salvaguardas según el modelo de madurez (CMM) usado para calificar la madurez de procesos.
NIVELES DE MADUREZ EN PILARNIVELES DE MADUREZ EN PILAR
PILAR utiliza niveles de madurez para evaluar salvaguardas según el modelo de madurez (CMM)
9
NIVELES DE CRITICIDAD EN PILARNIVELES DE CRITICIDAD EN PILAR
PILAR estima los riesgos según una escala simple de seis valores:
NIVELES DE CRITICIDAD EN PILARNIVELES DE CRITICIDAD EN PILAR
PILAR estima los riesgos según una escala simple de seis valores:
10
IMPACTO Y RIESGO EN PILARIMPACTO Y RIESGO EN PILAR
El impacto es un indicador de qué puede suceder cuando ocurren las amenazas.
El riesgo es un indicador de lo que probablemente suceda por causa de las amenazas.
El impacto y el riesgo se mitigan por medio de salvaguardas, viéndose reducidos a valores residuales
El impacto y el riesgo, el potencial y los valores residuales, constituyen información importante para tomar decisiones en materia de seguridad por ejemplo:
• Activos a supervisar
• Salvaguardas a desplegar o a mejorar
• Aceptación de riesgos operacionales
IMPACTO Y RIESGO EN PILARIMPACTO Y RIESGO EN PILAR
El impacto es un indicador de qué puede suceder cuando ocurren las amenazas.
El riesgo es un indicador de lo que probablemente suceda por causa de las amenazas.
El impacto y el riesgo se mitigan por medio de salvaguardas, viéndose reducidos a valores residuales.
El impacto y el riesgo, el potencial y los valores residuales, constituyen información importante para tomar decisiones en materia de seguridad por ejemplo:
11
RESULTADOS Y RESULTADOS Y VENTAJASVENTAJASDE LA HERRAMIENTA PILARDE LA HERRAMIENTA PILAR
Resultados1 Impacto potencial y residual.
2 Riesgo potencial y residual.
3 Mapa de riesgos.
4 Plan de mejora de la seguridad
5 Monitorización continúa del Estado de Riesgo
OBTENIDOS CON OBTENIDOS CON EL USO EL USO DE LA HERRAMIENTA PILARDE LA HERRAMIENTA PILAR
Ventajas1 Conocer los riesgos a fin de poder
tratarlos2 Conocer los riesgos a fin de poder
tratarlos3 Conocer el grado de cumplimiento de
diferentes perfiles de seguridad: 27002, protección de datos de carácter personal, esquema nacional de seguridad, etc.
4 Implementar la metodología Magerit e ISO/IEC 27005.
12
CONCEPTO GRAFICO DE PILAR:CONCEPTO GRAFICO DE PILAR:CONCEPTO GRAFICO DE PILAR:CONCEPTO GRAFICO DE PILAR:
13
DIAGRAMA UTILIZACION DE LA HERRAMIENTA DIAGRAMA UTILIZACION DE LA HERRAMIENTA PILARPILAR
UTILIZACION DE LA HERRAMIENTA PILAR V 5.1.7 EN UN PC CON WINDOWS 7
Ejecutamos el programa y seleccionamos la opción a utilizar en nuestro caso usaremos análisis cualitativo.
DIAGRAMA UTILIZACION DE LA HERRAMIENTA DIAGRAMA UTILIZACION DE LA HERRAMIENTA PILARPILAR
UTILIZACION DE LA HERRAMIENTA PILAR V 5.1.7 EN UN PC CON WINDOWS 7
Ejecutamos el programa y seleccionamos la opción a utilizar en nuestro caso usaremos análisis cualitativo.
14
PANEL PRINCIPAL DEL PROYECTOPANEL PRINCIPAL DEL PROYECTO
IDENTIFICACION DE ACTIVOSIdentificación de activos: dentro de la opción análisis de riesgos, primero se ingresan los activos clasificándolos por su función.
PANEL PRINCIPAL DEL PROYECTOPANEL PRINCIPAL DEL PROYECTO
Identificación de activos: dentro de la opción análisis de riesgos, primero se ingresan los activos
15
ACTIVOSACTIVOSLos activos se organizan en:
CapasGrupos de activosActivos propiamente dichos
VALORACION DE ACTIVOSVALORACION DE ACTIVOS
Para valorar los activos previamente escogemos el o los niveles, de acuerdo al criterio de valoración entre activos y sus vulnerabilidades reflejados en los pilares.
VALORACION DE ACTIVOSVALORACION DE ACTIVOS
Para valorar los activos previamente escogemos el o los niveles, de acuerdo al criterio de valoración entre activos y sus vulnerabilidades reflejados en los pilares.
17
IDENTIFICACION DE AMENAZASIDENTIFICACION DE AMENAZAS
PILAR recomienda utilizar su biblioteca de amenazas y esta se puede asociar a cada uno de los activos, tomando en cuenta sus clases y dependencias.
IDENTIFICACION DE AMENAZASIDENTIFICACION DE AMENAZAS
PILAR recomienda utilizar su biblioteca de amenazas y esta se puede asociar a cada uno de los activos, tomando en cuenta sus clases y dependencias.
18
VALORACION DE AMENAZASVALORACION DE AMENAZASPILAR propone valorar las amenazas definiendo las frecuencias o probabilidad de posible materialización de las mismas y la degradación por niveles o porcentajes de los cinco pilares.
VALORACION DE AMENAZASVALORACION DE AMENAZASPILAR propone valorar las amenazas definiendo las frecuencias o probabilidad de posible materialización de las mismas y la degradación por niveles o porcentajes de los cinco pilares.
20
IMPACTO ACUMULADOIMPACTO ACUMULADO
Es el impacto evaluado en los activos inferiores
21
IDENTIFICACION Y VALORACION DE SALVAGUARDASIDENTIFICACION Y VALORACION DE SALVAGUARDAS
Utilizando las sugerencias de la herramienta PILAR, utilizamos la plantilla de salvaguardas, y a continuación la valoración de acuerdo a los siguientes parámetros
IDENTIFICACION Y VALORACION DE SALVAGUARDASIDENTIFICACION Y VALORACION DE SALVAGUARDAS
las sugerencias de la herramienta PILAR, utilizamos la plantilla de salvaguardas, y a continuación la valoración de acuerdo a los siguientes parámetros
22
IDENTIFICACION, IDENTIFICACION, VALORACION Y VALORACION Y RIESGO RESIDUAL
23
RIESGO RESIDUALRIESGO RESIDUAL
Es el riesgo obtenido posterior a la valoración y aplicación de salvaguardasEs el riesgo obtenido posterior a la valoración y aplicación de salvaguardas
24
SOFTWARE PILAR PARA DIFERENTES SISTEMAS OPERATIVOS
25
SOFTWARE PILAR PARA DIFERENTES SISTEMAS OPERATIVOS