Administración de Riesgo

1-Resuelve

Priorización de los riesgos

Probabilidad

• ALTA: Es muy factible que el hecho se presente
• MEDIA: Es factible que el hecho se presente
• BAJA: Es poco factible que el hecho se presente
• Impacto: Consecuencias que puede ocasionar a la organización la materialización del riesgo.ema

impacto

Consecuencias que puede ocasionar a la organización la materialización del riesgo.

Costos de Administración de Infraestructura

• El objetivo que se persigue es lograr que un ataque a los bienes sea más costoso que su valor, invirtiendo menos de lo que vale

Cumplimientos con las normativas y Acuerdos

• Se deben implementar y hacer cumplir las reglas de seguridad y buenas practicas
• Es aconsejable fiscalizar y penalizar las faltas a la normativa
• Se debe prestar atención al entorno para implementar nuevas normativas y darlas a conocer oportunamente

Tiempo de respuesta de una amenaza

• Debe ser el menor posible
• Se deben tener planes de contingencia
• Se deben llevar a cabo ejercicios prácticos
• Durante los ejercicios se debe recabar información

4.Definición de roles y Responsabilidades:

Ejecutivo patrocinador

Grupo de Seguridad

Grupo de Informática

5-Proceso de Administración del Riesgo:

Implementar Controles

Búsqueda de enfoque holístico

Supone que todas las propiedades de un sistema no pueden ser determinadas o explicadas como la suma de sus componentes.
La primera es la tecnología de seguridad, junto con el software de seguridad, que está destinada a añadir seguridad

Organización de defensa

Políticas de seguridad: series de normas, reglamentos y protocolos a seguir, es decir, debe ser holistica,debe definir estrategias, y son : política física, defensa perimetral y de red

Medir la efectividad del Programa

Medir la efectividad del control

• Información necesaria :
La lista de prioridades de los riesgos que se tienen que mitigar

• Participantes :
Equipo de administración de riesgos de seguridad
Responsables de mitigación
Comité directivo de seguridad

Realizar Soporte Basado en Decisiones

Selecciona la estrategia de Mitigación de Riesgos

• Plan de Acción : Minimizamos o hacemos desaparecer el riesgo.
• Plan de Contingencia :
Se acepta el riesgo y se prepara un plan de acciones a seguir si el problema se materializa

Identifica las soluciones de Control

• Reducción.- Apoyada en acciones para la eliminación o disminución del riesgo.
• Protección.- Relacionada con elementos físicos para la eliminación o reducción del riesgo.
• Transferencia.- Orientada a la delegación de responsabilidades a terceros.

Evaluar los Riesgos

Recopila Datos

• Revisar el sistema ,registros de sistemas y auditorias,copia de seguridad para realizar pruebas

Identifica Activos

Activos de información:
• Activos de software
• Archivos físicos:
• Servicios
• Otros activos

Prioriza Riesgos

• Riesgos de Integridad
• Interfaces del usuario
• Procesamiento
• Procesamiento de errores
• Administración de cambios
Información
• Riesgos de acceso
Redes
• Riesgos de seguridad general

2-Enfoques de la administración de Riesgos:

Reactivo

• Proteger la vida y seguridad de las personas
• Contener el daño
• Evaluar el daño
• Determinar la causa del daño
• Reparar el daño
• Revisar las directivas de respuestas

Proactivo

• Identificar los activos de negocios.
• Determinar el daño que un ataque a un activo podría provocar a la organización.
• Identificar las vulnerabilidades que aprovechará el ataque.
• Determinar el modo de minimizar el riesgo de ataque mediante la implementación de los controles adecuados.

3-Ámbito del análisis de Riesgos

Tecnológico

• Los activos son de tipo aplicación y equipo, sin dejar de considerar también la sensibilidad de las informaciones que son manipulados por ellos.
• Los usuarios que los utilizan.
• La infraestructura que les ofrece respaldo

Humano

• El nivel de acceso que las personas tienen en la
• red o en las aplicaciones.
• Las restricciones y permisos que deben
• tener para realizar sus tareas con los activos.
• El nivel de capacitación y formación educativa que necesitan tener acceso para manipularlos, etc.

Procesos

• En este ámbito, el activo de enfoque principal es del tipo usuario e información
• Identificar a las personas involucradas en el flujo de información, es posible evaluar la
• necesidad real de acceso que ellas tienen a los Activos.
• Evaluar el impacto proveniente del uso
• indebido de la información por personas no calificadas.

Físico

• Identificar posibles fallas en la localización física de los activos tecnológicos.
• Evaluar el impacto de accesos indebidos a las áreas en donde se encuentran activos
Tecnológicos.
• Evaluar el impacto de desastres ambientales en la infraestructura de tecnología de la
empresa.