resumen magerit v3 libro1 método es nipo
Post on 22-Feb-2018
225 views
Embed Size (px)
TRANSCRIPT
7/24/2019 Resumen Magerit v3 Libro1 Mtodo Es NIPO
1/58
U N I V E R S I D A D N A C I O N A L D E L
S A N T A
FA C U LTA D D E I N G E N I E R I A
E A P : S I S T E M A S E I N F O R M AT I C A
A U D I T O R I A D E S I S T E M A S
Tema: Metodologa de Anlisis yGestin de Riesgos de los
Sistemas de Informacin.
Docente: Ing. Camilo Ernesto Suare
Re!aa
Ciclo: "
Integrantes:
C#$e %tiniano Mel&uisedec 'ernnde I(ana&ue Mara )olanda
Marcelo Gme *uis Ricardo
*(e +orres ,e$in Marino
Sil$a -uertas Consuelo Isa!el
trilla Camones /a$ier
Nuevo Chimbote, Setiembre del 2015
7/24/2019 Resumen Magerit v3 Libro1 Mtodo Es NIPO
2/58
Magerit 3.0 Proyectos de anlisis de riesgos
Ministerio de Hacienda y Administraciones Pblicas
METODOLOGIA DE ANALISIS Y GESTION DE RIESGOS D ELOS SISTEMAS DE INFORMACION
-MAGERIT-
1. INTRODUCCION:
El uso de tecnologas de la informacin y comunicaciones !"#$ su%one unos beneficiose&identes %ara los ciudadanos' %ero tambi(n da lugar a ciertos riesgos )ue deben gestionarse%rudentemente con medidas de seguridad )ue sustenten la confian*a de los usuarios de losser&icios.
+.+ ,-E /,"E12
a gestin de los riesgos es una %iedra angular en las guas de buen gobierno 4"53670089 %blico o %ri&ado9 donde se considera un %rinci%io fundamental )ue lasdecisiones de gobierno se fundamenten en el conocimiento de los riesgos )ueim%lican2
+.:.+; Pro%uesta
Recopilacin de los beneficios, costos, riesgos, oportunidades, y otros factores que
deben tenerse en cuenta en las decisiones que se tomen.
#ubriendo riesgos en general y riesgos !"# en %articular2
Esta norma establece los principios para el uso eficaz, eficiente y aceptable de las
tecnolo-gas de la informacin. Garantizando que sus organizaciones siguen estos
principios ayuda-r a los directores a equilibrar riesgos y oportunidades derivados deluso de las !.
+.; #o es9 sim%lemente9im%rescindi?ble %ara %oder gestionarlos."# Evaluacin del riesgo. $os participantes deben llevar a cabo evaluaciones de riesgo.
%rtculo ". Gestin de la seguridad basada en los riesgos.&. El anlisis y gestin de riesgos ser parte esencial del proceso de seguridad ydeber mantenerse permanentemente actualizado.
'. $a gestin de riesgos permitir el mantenimiento de un entorno controlado,
minimizando los riesgos (asta niveles aceptables.+.@ MA/E1"!2
Magerit res%onde a lo )ue se denomina Proceso de /estin de los 1iesgosBMA/E1"! im%lementa el Proceso de /estin de 1iesgos dentro de un marco detraba>o %ara )ue los rganos de gobierno tomen decisiones teniendo en cuenta losriesgos deri&ados del uso de tecnologas de la informacin
7/24/2019 Resumen Magerit v3 Libro1 Mtodo Es NIPO
3/58
Magerit 3.0 Proyectos de anlisis de riesgos
Ministerio de Hacienda y Administraciones Pblicas
+.7 "!1C-##" A AA"5"5 CE /E5!" CE 1"E5/525eguridad es la ca%acidad de las redes o de los sistemas de informacin %ara resistir9con un de?terminado ni&el de confian*a9 los accidentes o acciones ilcitas omalintencionadas )ue com%ro metan la dis%onibilidad9 autenticidad9 integridad yconfidencialidad de los datos almacenados o transmitidos y de los ser&icios )ue dicDasredes y sistemas ofrecen o Dacen accesibles
+.: AA"5"5 !1A!AM"E! CE 5 1"E5/5 E 5- #!EF!2El anlisis de riesgos %ermite determinar cmo es9 cunto &ale y cmo de %rotegido seencuentra el sistema. En coordinacin con los ob>eti&os9 estrategia y %oltica de largani*acin9 las acti&idades de tratamiento de los riesgos %ermiten elaborar un %lande seguridad )ue9 im%lantado y o%erado9 satisfaga los ob>eti&os %ro%uestos con el ni&el
de riesgo )ue ace%ta la Cireccin. Al con>unto de estas acti&idades se le denominaProceso de /estin de 1iesgos.
+.:.+ ##"E#"A#"
7/24/2019 Resumen Magerit v3 Libro1 Mtodo Es NIPO
4/58
Magerit 3.0 Proyectos de anlisis de riesgos
Ministerio de Hacienda y Administraciones Pblicas
+.G 1/A"=A#" CE A5 /-"A5Esta &ersin 3 de Magerit se Da estructurado en dos libros y una gua de t(cnicas2I ibro " J M(todoI ibro "" J #atlogo de elementosI /ua de !(cnicas J 1eco%ilacin de t(cnicas de diferente ti%o )ue %ueden ser deutilidad %ara la a%licacin del m(todo.
+.G.+ MC CE EMPE25iem%re se eK%lican informalmente las acti&idades a reali*ar9 y en ciertos casos seformali*an co?mo tareas )ue %ermiten una %lanificacin y seguimiento
+.G.; #A!A/ CE EEME!55e %ro%one un catlogo9 abierto a am%liaciones9 )ue marca unas %autas encuanto a2
L ti%os de acti&osL dimensiones de &aloracin de los acti&osL criterios de &aloracin de los acti&osL amena*as t%icas sobre los sistemas de informacinL sal&aguardas a considerar %ara %roteger sistemas de informacin
+.6 EA-A#"9 #E1!"
7/24/2019 Resumen Magerit v3 Libro1 Mtodo Es NIPO
5/58
Magerit 3.0 Proyectos de anlisis de riesgos
Ministerio de Hacienda y Administraciones Pblicas
+.N O#-AC P1#ECE AA"=A1 /E5!"A1 5 1"E/52En %articular en cual)uier entorno donde se %racti)ue la tramitacin electrnica debienes y ser&icios9 sea en conteKto %blico o %ri&ado.2. VISION DE CONJUNTO:
". AA"5"5 CE 1"E5/52
3. METODO DE ANALISISI DE RIESGOS
3.+ ##EP!5 PA5 A PA52
7/24/2019 Resumen Magerit v3 Libro1 Mtodo Es NIPO
6/58
Magerit 3.0 Proyectos de anlisis de riesgos
Ministerio de Hacienda y Administraciones Pblicas
El anlisis de riesgos es una a%roKimacin metdica %ara determinar el riesgo siguiendo unos%a?sos %autados2 +. determinar los acti&os rele&antes %ara la rgani*acin9 su interrelacin ysu &alor9 en el sen?tido de )u( %er>uicio coste$ su%ondra su degradacin ;. determinar a )u(amena*as estn eK%uestos a)uellos acti&os 3. determinar )u( sal&aguardas Day dis%uestas ycun eficaces son frente al riesgo @. estimar el im%acto9 definido como el dao sobre el acti&oderi&ado de la materiali*acin de la amena*a 7. estimar el riesgo9 definido como el im%acto%onderado con la tasa de ocurrencia o eK%ecta?ti&a de materiali*acin$ de la amena*a
3.1.2. Paso 2: Amea!as
El siguiente %aso consiste en determinar las amena*as )ue %ueden afectar a cada acti&o. as
amena*as son cosas )ue ocurrenB. 9 de todo lo )ue %uede ocurrir9 interesa lo )ue %uede %asarle a
nuestros acti&os y causar un dao.
Identificacin de las amenazas
El ca%tulo 7 del Q#atlogo de ElementosQ %resenta una relacin de amena*as t%icas.
De o"#$e a%&"a' terremotos9 inundaciones9Retc$ De' e%o"o ()e o"#$e #)&s%"#a'* contaminacin9 fallos el(ctricos9 ...$ De+e,%os )e 'as a'#,a,#oes Ca&sa)as o" 'as e"soas )e +o"ma a,,#)e%a' Ca&sa)as o" 'as e"soas )e +o"ma )e'#e"a)a
Valoracin de las amenazas
Hay )ue &alorar su influencia en el &alor del acti&o9 en dos sentidos2
)e$"a)a,#/: cun %er>udicado resultara el 4&alor del8 acti&o "oa#'#)a): cun %robable o im%robable es )ue se materialice la amena*a
3.1.3. De%e"m#a,#/ )e' #ma,%o o%e,#a'
7/24/2019 Resumen Magerit v3 Libro1 Mtodo Es NIPO
7/58
Magerit 3.0 Proyectos de anlisis de riesgos
Ministerio de Hacienda y Administraciones Pblicas
5e denomina im%acto a la medida del dao sobre el acti&o deri&ado de la materiali*acin de una
amena*a. #onociendo el &alor de los acti&os en &arias dimensiones$ y la degradacin )ue causan
las amena*as9 es directo deri&ar el im%acto )ue estas tendran sobre el sistema.
Impacto acumulado
Es el calculado sobre un acti&o teniendo en cuenta2
5u &alor acumulado el %ro%io mas el acumulado de los acti&os )ue de%enden de (l$ as amena*as a )ue est eK%uesto
El im%acto acumulado9 al calcularse sobre los acti&os )ue so%ortan el %eso del sistema de
informacin9 %ermite determinar las sal&aguardas de )ue Day )ue dotar a los medios de traba>o2 %ro?
teccin de los e)ui%os9 co%ias de res%aldo9 etc.
Impacto repercutido
Es el calculado sobre un acti&o teniendo en cuenta su &alor %ro%io las amena*as a )ue estn eK%uestos los acti&os de los )ue de%ende
El im%acto re%ercutido se calcula %ara cada acti&o9 %or cada amena*a y en cada dimensin de
&aloracin9 siendo una funcin del &alor %ro%io y de la degradacin causada.
Agregacin de valores de impacto
Estos im%actos singulares %ueden agregarse ba>o ciertas condiciones2
Puede agregarse el im%acto re%ercutido sobre diferentes acti&os9
%uede agregarse el im%acto acumulado sobre acti&os )ue no sean de%endientes entre s9 y no
Dereden &alor de un acti&o su%erior comn9
no debe agregarse el im%acto acumulado sobre acti&os )ue no sean inde%endientes9 %ues
ello su%ondra sobre %onderar el im%acto al incluir &arias &eces el &alor acumulado de acti?&os
su%eriores9
%uede agregarse el im%acto de diferentes amena*as sobre un mismo acti&o9 aun)ue con?
&iene considerar en )u( medida las diferentes amena*as son inde%endientes y %ueden ser
concurrentes9 %uede agregarse el im%acto de una amena*a en diferentes dimensiones.
7/24/2019 Resumen Magerit v3 Libro1 Mtodo Es NIPO
8/58
Magerit 3.0 Proyectos de anlisis de riesgos
Ministerio de Hacienda y Administraciones Pblicas
3.1.0. De%e"m#a,#/ )e' "#es$o o%e,#a'
5e denomina riesgo a la medida del dao %robable sobre un sistema. #onociendo el im%acto de las
amena*as sobre los acti&os9 es directo deri&ar el r