EVALUACION DE RIESGO

...

Los pasos básicos de todo tipo de metodología son:

- Identificar las amenazas.

- Decidir quién o qué puede ser afectado y como.

- Evaluar los riesgos y proponer precauciones.

- Documentar los diferentes aspectos encontrados.

- Revisión del análisis y actualización del documento (si es necesario).

CRAMM

Método de análisis de riesgo diseñado por el gobierno británico para análisis de sistemas de información, la principal función de este como muchos otros de los métodos existentes es evaluar los riesgos y proponer medidas eficaces para la solución de estos y diferentes planes de contingencia

- 31 amenazas

- 8 impactos

- 3000 contramedidas

ETAPAS:

- Identificación de activos y valoración.

- Amenazas y evaluación de vulnerabilidades

- Contramedidas

OCTAVE ALLEGRO

- Operationally Critial Threat, Assets and Vulnerability Evaluation

Técnica de evaluación de riesgo a implementar en este trabajo , mediante una definición de los activos, diferentes herramientas, técnicas y métodos para esta evaluación del riesgo, es utilizada para las grandes empresas por su fuerte enfoque a la mitigación y mejora de actividades, así mismo equilibrar los riesgos operativos, prácticas de seguridad y tecnología, para tomar decisiones de protección de información con base en los riesgos de confidencialidad, integridad y disponibilidad de los bienes relacionados con la información crítica de la compañía. En su versión original, esta cuenta con 3 fases y en su versión de Allegro con 4 fases.

Involucrar todos los niveles de la organización que conforman la empresa, para identificar las diferentes vulnerabilidades y amenazas a las que se encuentran expuestas las políticas y procesos de la empresa.

FASES OCTAVE

- Criterios de medicion de riesgos.

- Desarrollar un perfil de activos de información.

- Identificar, areas de preocupación.

- Identificar escenarios de amenaza.

- Identificar riesgos.

- Analizar riesgos.

- Seleccionar un enfoque de mitigación.

CRITERIOS DE MEDICION DEL RIESGO

La postura de la empresa frente a su capacidad para verse afectado por las diferentes amenazas.

En donde la importancia de la Reputación y confianza del cliente está entre la más relevante y propenso a amenaza.

[pic 4]Tab. 1 Grado de Impacto

La información del cliente tiene la mayor prioridad ya que si esto se ve afectado y el cliente pierde la confianza, puede que la empresa pierda ventas y de este modo todo lo demás se ve afectado.

En este caso es válido decir que de preferencia la empresa puede perder plata teniendo en cuenta que esta no tenga que ver con el cliente y no se afecte la relación de este con la empresa.

La productividad de la empresa también puede verse afectada, por otra parte es más importante tener siempre lo necesario para que los clientes tengan la confianza necesaria para reponer la continua producción de la empresa.

Las diferentes amenazas que pueden afectar el rendimiento de la empresa para que esta no se vea afectada se ven calificadas por diferentes probabilidades que pueden ser cualitativas, pero generar grandes gastos en la empresa, esta información acerca de la probabilidad se puede ver en la siguiente tabla:

Nivel de probabilidad

Definición de la probabilidad

Alta

(3)

La fuente de amenaza es altamente motivada y suficientemente capaz. Los controles para prevenir que la vulnerabilidad suceda son ineficientes

Media

(2)

La fuente de amenaza es motivada y capaz. Los controles pueden impedir el éxito de que la vulnerabilidad suceda

Baja

(1)

La fuente de amenaza carece de motivación. Los controles están listos para prevenir o para impedir significativamente que la vulnerabilidad suceda

Tab. 2 Definición de la Probabilidad

CLASIFICACION DE LOS ACTIVOS

COMPONENTES

CLASIFICACION DE IMPACTO

1:Bajo 2:Medio 3:Alto

COMPUTADORES ESCRITORIO

4 GB RAM

3

i3

500 GB DD

Windows 7 Proffesional

SWITCH (2960-24TT-L)

2

24 puertos 10/100/1000

2 puertos GiGabit Ethernet

TELEFONOS IP

2

CANALETA[pic 5]

CABLE UTP CATEGORIA 6A CERTIFICADO

1

RACK DE COMUNICACIONES 1.80

1

IMPRESORAS

1

ROUTER (2921)

2

CISCO