MATERIA: Planificacin y Modelado

TEMA: Anlisis de Riesgo

CATEDRATICO: Profe. Laura Isela Lpez Diaz

PRESENTA: Castaeda Daz Rafael de Jes

ABRIL 2011

Anlisis de Riesgo
ANALISIS DE RIESGOS Pretender eliminar todos los riesgos del lugar de trabajo es una finalidad poco realista. En el mundo debemos escoger entre:

Riesgos fsicamente imposibles de corregir Riesgos posibles, pero econmicamente imposibles de corregir. Riesgos econmica y fsicamente corregible.

En un entorno informtico existen una serie de recursos (humanos, tcnicos, de infraestructura) que estn expuestos a diferentes tipos de riesgos: los `normales, aquellos comunes a cualquier entorno, y los excepcionales, originados por situaciones concretas que afectan o pueden afectar a parte de una organizacin o a toda la misma, como la inestabilidad poltica en un pas o una regin sensible a terremotos. Para tratar de minimizar los efectos de un problema de seguridad se realiza lo que denominamos un anlisis de riesgos, trmino que hace referencia al proceso necesario para responder a tres cuestiones bsicas sobre nuestra seguridad: > Qu queremos proteger? > Contra quin o qu lo queremos proteger? > Cmo lo queremos proteger? En la prctica existen dos aproximaciones para responder a estas cuestiones: Cuantitativa Cualitativa

La primera de ellas es con diferencia la menos usada, ya que en muchos casos implica clculos complejos o datos difciles de estimar. Se basa en dos parmetros fundamentales: la probabilidad de que un suceso ocurra y una estimacin del coste o las prdidas en caso de que as sea; el producto de ambos trminos es lo que se denomina coste anual estimado (EAC, Estimated Annual Cost), y aunque tericamente es posible conocer el riesgo de cualquier evento (el EAC) y tomar decisiones en funcin de estos datos, en la prctica la inexactitud en la estimacin o en el clculo de parmetros hace difcil y poco realista esta aproximacin.
1 de abril de 2011

El segundo mtodo de anlisis de riesgos es el cualitativo, de uso muy difundido en la actualidad especialmente entre las nuevas `consultoras de seguridad (aquellas ms especializadas en seguridad lgica, cortafuegos, test de penetracin y similares). Es mucho ms sencillo e intuitivo que el anterior, ya que ahora no entran en juego probabilidades exactas sino simplemente una estimacin de prdidas potenciales. Para ello se interrelacionan cuatro elementos principales: las amenazas, por definicin siempre presentes en cualquier sistema, las vulnerabilidades, que potencian el efecto de las amenazas, el impacto asociado a una amenaza, que indica los daos sobre un activo por la materializacin de dicha amenaza, y los controles o salvaguardas, contramedidas para minimizar las vulnerabilidades (controles preventivos) o el impacto (controles curativos).

Anlisis de Riesgo
Por ejemplo, una amenaza sera un pirata que queramos o no (no depende de nosotros) va a tratar de modificar nuestra pgina web principal, el impacto sera una medida del dao que causara si lo lograra, una vulnerabilidad sera una configuracin incorrecta del servidor que ofrece las pginas, y un control la reconfiguracin de dicho servidor o el incremento de su nivel de parcheado. Con estos cuatro elementos podemos obtener un indicador cualitativo del nivel de riesgo asociado a un activo determinado dentro de la organizacin, visto como la probabilidad de que una amenaza se materialice sobre un activo y produzca un determinado impacto. En Espaa es interesante la metodologa de anlisis de riesgos desarrolladas desde el Consejo Superior de Informtica (Ministerio de Administraciones Pblicas), y denominada MAGERIT (Metodologa de Anlisis y Gestin de Riesgos de los sistemas de Informacin de las Administraciones pblicas); se trata de un mtodo formal para realizar un anlisis de riesgos y recomendar los controles necesarios para su minimizacin. MAGERIT se basa en una aproximacin cualitativa que intenta cubrir un amplio espectro de usuarios genricos gracias a un enfoque orientado a la adaptacin del mecanismo dentro de diferentes entornos, generalmente con necesidades de seguridad y nivel de sensibilidad tambin diferentes. En la pgina web del Consejo Superior de Informtica podemos encontrar informacin ms detallada acerca de esta metodologa, as como algunos ejemplos de ejecucin de la misma. Tras obtener mediante cualquier mecanismo los indicadores de riesgo en nuestra organizacin llega la hora de evaluarlos para tomar decisiones organizativas acerca de la gestin de nuestra seguridad y sus prioridades. Tenemos por una parte el riesgo calculado, resultante de nuestro anlisis, y este riesgo calculado se ha de comparar con un cierto umbral (umbral de riesgo) determinado por la poltica de seguridad de nuestra organizacin; el umbral de riesgo puede ser o bien un nmero o bien una etiqueta de riesgo (por ejemplo, nivel de amenaza alto, impacto alto, vulnerabilidad grave, etc.), y cualquier riesgo calculado superior al umbral ha de implicar una decisin de reduccin de riesgo. Si por el contrario el calculado es menor que el umbral, se habla de riesgo residual, y el mismo se considera asumible (no hay porqu tomar medidas para reducirlo). El concepto de asumible es diferente al de riesgo asumido, que denota aquellos riesgos calculados superiores al umbral pero sobre los que por cualquier razn (poltica, econmica) se decide no tomar medidas de reduccin; evidentemente, siempre hemos de huir de esta situacin.

1 de abril de 2011

Anlisis de Riesgo
Conclusin: Para el anlisis de riesgo dentro de una planeacin y desarrollo de software como nos dice el texto anterior, hay que conocer que es lo que consideramos de mayor prioridad para que al realizar nuestras pruebas ya sean por el mtodo cualitativo o el cuantitativo (este que es menos usado dado a los datos complejos de estimar), podamos verificar que ser lo ms importante dentro de nuestro cdigo que debemos hacer que no sea vulnerable a los ataques que ya sea datos o informacin de la empresa o del cliente adquiera el software. Se puede recrear o solo pensar en ciertas situaciones usuales o poco usuales que pueden crear un ataque, ya que se toman estos tipos de ataques se ven cuales estn dentro de una escala donde se nota cules pueden ser omitidos por la compaa desarrolladora del software y cuales no; todo esto se realiza para poder dar un mejor software y poder descartar ataques a futuro del mismo o ataques comunes que dentro de este anlisis se realizaron y se pudieron descartar como futuras anomalas.

Bibliografa: http://www.mitecnologico.com/Main/AnalisisDeRiesgos

1 de abril de 2011