©Copyright 2013 ISACA. Todos los derechos reservados. 2.10 Evaluación de riesgos Existen numerosos modelos de gestión de riesgos a disposición del Gerente.

Presentación del tema: "©Copyright 2013 ISACA. Todos los derechos reservados. 2.10 Evaluación de riesgos Existen numerosos modelos de gestión de riesgos a disposición del Gerente."— Transcripción de la presentación:

1

2 ©Copyright 2013 ISACA. Todos los derechos reservados. 2.10 Evaluación de riesgos Existen numerosos modelos de gestión de riesgos a disposición del Gerente de Seguridad de Información. Algunos de estos son: COBIT OCTAVE NIST 800-30 El enfoque seleccionado estará determinado por la mejor forma, ajuste y función. AS/NZS 4360-2004 ISO/IEC 31000 ITIL CRAMM

3 ©Copyright 2013 ISACA. Todos los derechos reservados. 2.10.2 Riesgo agregado y en cascada Se debe tomar en cuenta el riesgo agregado: Cuando exista una amenaza particular o varias amenazas, afecten a un gran número de vulnerabilidades menores que, en conjunto, pueden producir un impacto significativo. Los riesgos en cascada también pueden manifestar impactos inaceptables como resultado de una falla que conduce a una reacción en cadena de fallas, fruto de dependencias sucesivas.

4 ©Copyright 2013 ISACA. Todos los derechos reservados. El primer paso en un programa de gestión de riesgos es generar una lista exhaustiva de las fuentes de amenazas, riesgos y eventos que podrían impactar en el logro de cada objetivo, según se haya identificado en la definición del alcance y marco. En general, un riesgo está caracterizado por: —su origen: empleados descontentos, la competencia, etc. —una determinada actividad, evento o incidente (amenaza) —sus consecuencias, resultados o impactos —una razón específica por la cual sucedió —mecanismos y controles de protección —tiempo y lugar de su acontecimiento 2.10.4 Identificación del riesgo

5 ©Copyright 2013 ISACA. Todos los derechos reservados. Al seleccionar una metodología para la identificación de riesgos, se deberán considerar las siguientes técnicas: Lluvia de ideas basada en equipo; los talleres pueden ser eficaces para generar compromiso y hacer uso de las diferentes experiencias. Las técnicas estructuradas: elaboración de diagramas de flujo, revisión del diseño del sistema, análisis de sistemas, estudios de peligro y operabilidad, así como modelos operativos. Análisis de escenarios o de supuestos para situaciones que no se han definido tan claramente, tales como la identificación de riesgos estratégicos y procesos con una estructura más general. 2.10.4 Identificación del riesgo

6 ©Copyright 2013 ISACA. Todos los derechos reservados. 2.10.5 Amenazas Por lo general se clasifican del siguiente modo: Naturales: Inundaciones, incendios, ciclones, lluvia/granizo, plagas y terremotos. Accidentales: Incendios, agua, daño/derrumbe de edificios, pérdida de servicios públicos y falla en los equipos. Físicas premeditadas: Bombas, incendios, agua y robo. Intangibles premeditadas: Fraude, espionaje, hackeo, robo de identidad, código malicioso, ingeniería social, ataques por phishing y ataques de negación de servicio.

7 ©Copyright 2013 ISACA. Todos los derechos reservados. 2.10.6 Vulnerabilidades Algunos ejemplos de vulnerabilidades son: Software defectuoso. Equipo configurado en forma inapropiada. Cumplimiento forzoso inadecuado. Diseño deficiente de redes. Procesos defectuosos o incontrolados. Gestión inadecuada. Personal insuficiente. Falta de conocimiento para brindar soporte a usuarios o correr procesos.