Catégories : Tous - enfoque - cuantitativo - seguridad - cualitativo

par felipe gutierrez Il y a 1 année

1229

Análisis de riesgos informáticos

El análisis de riesgos informáticos se puede abordar desde dos enfoques principales: el cuantitativo y el cualitativo. El enfoque cuantitativo se basa en la recopilación y análisis de datos numéricos, utilizando fórmulas y cálculos para evaluar factores como el valor de los activos de información, la probabilidad de eventos de seguridad y las posibles pérdidas financieras.

Análisis de riesgos informáticos

Andres Felipe Gutierrez 20/02/2023

Análisis de riesgos informáticos

COBIT

Es un modelo para auditar o intervenir la gestión y la manera de controlar los sistemas de tecnología e información, enfocados a la totalidad de los sectores de una empresa, esto quiere decir que, los usuarios, administradores y obviamente, los auditores que se involucran en el proceso
COBIT 5 [ Implementación y Operación de la Ciberseguridad]. (2017/10/28). Diana Gutiérrez https://www.https://www.youtube.com/watch?v=uqr079eHLY4&t=36s

CATEGORÍAS GENERALES DE ANÁLISIS

Análisis de costo-beneficio
se evalúan las medidas de seguridad que se pueden implementar para mitigar los riesgos identificados, y se comparan los costos de implementación con los beneficios obtenidos en términos de reducción de riesgos.
Análisis de riesgos
Esta categoria combina la información obtenida en los análisis de amenazas, vulnerabilidades e impacto, para determinar la probabilidad de que un incidente de seguridad ocurra y el impacto que tendría en la organización.
Análisis de impacto
se evalúa el impacto que un incidente de seguridad podría tener en la organización, como la pérdida de datos, la interrupción del servicio o la violación de la privacidad.
Análisis de vulnerabilidades
este análisis es identificar las debilidades y vulnerabilidades presentes en los sistemas y aplicaciones de la organización que puedan ser explotadas por atacantes
Análisis de amenazas

Enfoques en el análisis de riesgo

Enfoque cualitativo
Elementos del enfoque Cualitativo

Conceptos de especialistas y expertos

Evaluación en grupos de varias áreas al interior de la organización

Entrevistas y cuestionarios estructurados

Lluvia de ideas

Revisión de literatura y experiencias relacionadas con el área de gestión .

Análisis de debilidades, oportunidades, fortalezas y amenazas (DOFA)

utiliza la experiencia y conocimiento de expertos en seguridad informática, y se basa en técnicas como entrevistas y cuestionarios para recopilar información.
Se basa en la experiencia y conocimiento de expertos en seguridad informática, y utiliza técnicas como entrevistas y cuestionarios para obtener información.
Este enfoque se enfoca en evaluar el riesgo mediante la evaluación subjetiva de factores cualitativos, como reputación, confidencialidad E integridad de la información.
Enfoque cuantitativo
Elementos del enfoque Cuantitativo

Simulación a través de modelos de computador

Análisis de consecuencias

Análisis de probabilidad

El enfoque cuantitativo requiere una gran cantidad de datos y un análisis minucioso para llegar a resultados precisos.
Se basa en la recopilación de datos cuantitativos, como el valor de los activos de información, la probabilidad de un evento de seguridad y las posibles pérdidas financieras.
Este enfoque utiliza fórmulas y cálculos numéricos para evaluar el riesgo.

Ecosistema de Recursos Educativos Digitales SENA [ Implementación y Operación de la Ciberseguridad]. (2021/09 /25). Análisis, valoración de riesgos y controles de ciberseguridad: Vulnerabilidades y amenazas. https://www.youtube.com/watch?v=mHAdqq_7FXg

Administración de Riesgos

Transferencia de riesgos
Se tasan en un valor en efectivo los incidentes en relación con los ataques a la infraestructura de los sistemas informáticos y se transfiere a un tercero voluntario, por lo general una compañía de seguros.
Limitar el riesgo
Es la estrategia de uso más frecuente por las organizaciones
Evitar riesgos
Se evita cualquier exposición al riesgo
Aceptación del riesgo
Es más caro invertir en administrar y gestionar el riesgo que aceptarlo

PROCESOS DE LA GESTION DE RIESGOS

Monitorear y revisar
Es importante monitorear continuamente los riesgos y revisar las medidas de mitigación para asegurarse de que siguen siendo efectivas.
Mitigar los riesgos
Se deben tomar medidas como la implementación de controles de seguridad, la adopción de políticas y procedimientos de seguridad, y la formación y concienciación del personal
Evaluar los riesgos
Se determinar la probabilidad de que ocurran y el impacto que tendrían en la organización.

Amenaza

Situación o peligro, ya sea potencial o real, que afecte a cualquier activo o a algún componente del sistema de seguridad de la información

Exploits

Programas, herramientas o técnicas que se pueden usar para acceder a información o a un sistema al que no se tiene acceso autorizado

Superficie de ataque

La sumatoria total de las vulnerabilidades

Vulnerabilidad

Situación o debilidad latente en el sistema

Identificar los riesgos
Posibles riesgos a los que está expuesta la organización, como la pérdida de datos, los ataques de piratas informáticos, los desastres naturales, etc.

GESTIÓN DE LOS RIESGOS INFORMÁTICOS

Los riesgos no es responsabilidad exclusiva a las TIC, es decir, es inherente a las actividades del ser humano en general en la empresa
El objetivo de la gestión de riesgos informáticos es reducir o mitigar los riesgos a un nivel aceptable para la organización, y garantizar la continuidad del negocio en caso de un evento adverso.
Disponibilidad: se refiere a la garantía de que la información esté disponible para los usuarios autorizados cuando se necesite.
Integridad: se refiere a la protección de la información contra la modificación no autorizada
Confidencialidad: se refiere a la protección de la información contra el acceso no autorizado
Proceso de identificación, evaluación y control de los riesgos relacionados con la seguridad de la información y la tecnología de la información.
Norma ISO 31000:2018
Establece los principios y directrices de carácter genérico respecto a la gestión del riesgo en cualquier tipo de organización
ISO 27005:2018
Actividad que se debe efectuar de forma continua en una organización; se enfoca en el análisis, planificación, ejecución, control y seguimiento de los procedimientos que se definen respecto de la política de seguridad de la información.
La familia de estándares ISO 27000 integra las normas expedidas por la organización internacional para la estandarización de SGSI

Gobierno de Ti y sus factores claves [ Implementación y Operación de la Ciberseguridad]. (2017/10/28).Alvaro Hernandez https://www.youtube.com/watch?v=uqr079eHLY4&t=36s