271323, 17:28 Melodologias de andlisis y evaluacién de iesgos 2 Metodologias de analisis y evaluacién de activos 2.1 MAGERIT MAGERIT es una metodologia que se esluerza por enfalizar en dvidr los activos de a organizacién en variados grupos, pera identiicar mas riesgos y poder tomar contramedidas para evitar asi cualquier inconveriente. La razén de sor de MAGERIT esta diroctamente relacionada con la generalizacién del uso de las tecnologias de la informacién, que Ssupone unos beneicies evidentes para los cudadanas; pero también da lugar a clertos riesgos que deben minimizarse con medidas de seguridad que generen confianza, En el periodo transcurrido desde fa pubicacion de la primera version de MAGERIT (1997) hasta la fecha, el andlisis de lesgos se ha vendo consolidando como paso necesario para la gestién de la seguridad. La Evaluacion del riesgo es fundamental para levar a cabo planes de seguridad y de contingencia dentro dela organizacion, para poder gostionaros y hacerse riguroso frente a posioles ataques a los datas y la informacién tanto de la organizacién, como de los servicios que Presta, 2.1.1 Objetivos de MAGERIT Directos > Concienciar alos responsables de los sistemas de informacién dela existencia de riesgos y de la necesidad de corregiios a tiempo. > Ofrecer un método sistematico para analizar tales riesgos. > Ayudar a descubriry planificar las medidas oportunas para mantener los iesgos bajo cant. ectos y 2 La metodologla MAGERIT es una de las més utlizadas ya que se encuentra en espafiol. MAGERIT esta basado en tres submodelos: € Regresar hitpstisenatertorio.avcontentindex.phpfnsttucion/Complementariafnstiution/SENAVTecnologa/23310008/Contenido/OVNCIBERSEGURIDA... 1/15271323, 17:28 Melodologias de andlisis y evaluacién de iesgos Submodelo de elementos Es este submodelo se clasifican 6 elementos basicos que son: activos, amenazas, vulnerabilidades, impacto, riesgo, salvaguarda NY W Submodelo de eventos ‘Aqui se clasifican los elementos anteriores en tres formas: dindmico fsico, dindmico arganizativo y estatico. € Regresar hitpsisena.tertorio.lalcontentindex.phpinsttucion/Complementaria/nstution/SENAMTecnologia/233 10008/ContenidoiOVAICIBERSEGURIDA... 2/15271323, 17:28 Melodologias de andlisis y evaluacién de riesgos ACN Submodelo de procesos ‘Se definen en 4 etapas (andlisis de riesgo, planificaciin, gestion de riesgo y seleccién de salvaguardas) La motodologia consta de tres voliimenes: — Volumen I Método, es el vlumen principal en el que se explica detalladamente la metodologia. + Volumen II + Volumen La metodologia MAGERIT se puede resumir gréficamente de la siguiente forma: € Regresar hitpsisena.tertorio.lalcontentindex.phpinsttucion/Complementariafnstiution/SENAMTecnologia/23310008/ContenidolOVNICISERSEGURIDA... 3/15271929, 17:28 Melodologias de analsis y evaluacion de riesgos : stan expuestos a Interesan por su sin <—> Deere Hi © Causan una cierta ro ‘ . - Paros Con una " oe ie aden Cesc ere cot ae 2.2 Metodologia OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) Es un metodo de evaluacion y de gestion de los riesgos para garantizar la seguridad del sistema informatico, desarrollado por el ‘estandar internacional 150270001 El ndcleo contral de OCTAVE es un conjunto de criterias (principios, atibutos y resultados) a paride los cuales se pueden esarrolar diversas metodologias, — 2.2.1 Objetivos > Perit la comprensién del manejo de los racursos. > Idontiicacion y evaluacién de los riesgos que afectan la seguridad dentro de una organizacién, > Exige llevar a cabo la evaluacién de fa organizacién y del personal de la tecnologia de informacin. OCTAVE divide los activos en dos tipos que son: > Sistemas (Hardware, Software y Datos). > Personas. + 2.2.2 Equipo de Analisis de Riesgos + 2.2.3 Fases del método propuesto por OCTAVE « Regresar El método OCTAVE se resume en las siguientes fases: hitpsIsena.tertorio.lalcontentindex.phpinsttucion/Complementariafnstiution/SENAMTecnologia/23310008/ContenidolOVNICIBERSEGURIDA... 4/15271929, 17:28 Metodologias de andisis y evaluacion de riesgos er ay » Aetivos —| > amenszin eee ey ° Vulnerabildad organizacion ® Requermientos de seguridad » evaluacén de os riesgos » Estrategia de proteccién onderacion de los iesgos ® Planes de reduccion de ls riesgos 2.3 Metodologia CORAS (Construct a platform for risk analysis of security critical system) Desarrollado a partir de 2001 por SINTEF, un grupo de investigacién noruego financiado por organizaciones del sector piblico y privado. ‘Se dosartollé en ol marco del Proyecto CORAS (IST-2000-25031) financiado por la Unién Europea. El método CORAS proporcio > « Regresdr ‘Una metodologia de andiisis de riesgos basado en la elaboracién de modelos, que consta de siete pasos, basados ‘undamentalmente en entrevistas con los experts. Un lenguaje gréfico basado en UML (Unified Modeling Language) para la definicién de los modelos (actives, amenazas, 1s90S y Salvaguardas), y gulas para su ulizacién alo largo del proceso. Ellenguaje se ha definide como un perfil uM, Un editor gréico para soportar la elaboracién de los modelos, basado en Microsoft Visio, Una biblioteca de casos reutlizables. Una herramienta de gestin de casos, que permite su gestién y reutiizacién Representacin textual basada en XML (eXtensible Mark-up Language) del lenguaje grafic. Un formato estndar de informe para faciliar la comunicacién de distinas partes en el proceso de analisis de riasgos, El método propone 7 pasos que son: Paso 1 Presentacién: reunién incial, para presentar los objetivos y el alcance del analisis y recabar informacieninicia Analisis de alto nivel: entrevistas para verificar la comprensién de la informacién obtenida yla documentacién analizada. Se identfican amenazas, vulnerablidades, escenarios incidentes, Paso 2 Paso 3 Aprobacién: descripcién detallada de los objetivos,aleance y consideraciones, para su ‘aprobacin por parte del destinataro del andisis de riesgos. Paso 4 _ldontificacién do riesgos: icenticacién detallada de amenazas, vulnerabllidades, ‘escenaties ¢incidentes, Paso 5 _ Estimacién de riesgo: estimacién de probabilidades e impactos de los incidentes Identifcados en el paso anterior. hitpsIsena.ertorio.lalcontentindex.phpinstitucion/Complementariafnstiution/SENAMTecnologia/233 10008/ContenidolOVAICIBERSEGURIDA... 5/15211929, 17:28 Metodologias de anaisis y evaluacién de riesgos Paso 6 _ Evaluacién de riesgo: emision del informe de riesgos, para su ajuste fino y correcciones, Paso 7 Tratamiento del riesgo: identficacisn de as salvaguardas necesarias, y reaizacién de anal costeonetce Aikevshaon using risk “— Imaiintiedin alte snp hea Sogn ret og CD? encore ‘hea anos Refining the target descrition _abeny lusing asset diagrams Approval ofthe target description Risk teatment using tweatment dagrams Preparations for ates ‘the analysis ‘° Customer presentation ofthe target 2.4 Metodologia MEHARI MEHARI es una metadologia desarrolada por CUSIF (Club de la Securité De Liformation Francais) en 1998 que pasé a ser open source en 2007, El objetivo de esta metodologia es permit un andlisis directo e individual de situaciones de riesgos descrtas en diferentes escenarios y proporcionar un completo conjunto de herramientas especiicamente dise/iadas para la gestion de la seguridad a corto, meclo y largo plazo, adaptables a diferentes niveles de madurez. 2.4.1 Introduccién general de la utilizacién de MEHARI La princioalorientacién de MEHAR! es la evaluacién y reduccién de riesgos. Sus bases de datos de conocimi herramiantas se han creado con ese objetivo. to, mecanismos y ‘Asimiamo, en la mente de las disefiadores del conjunto de la metadologia, la necesidad de un método estructurado para el andlisis y Feduceién de riesgas puede ger, en funcién de la organizacién: Unmétodo permanente de Unmod de tao Uamiaddetab a ace rcs de erconpleerta cs Con esto en mente, MEHARI proporciona un conjunto de enfoques y herramientas que permiten realizar un andlisis de rlesgos cuando es necesaro, « Regresar hitpsiIsena.ertorio.lalcontentindex.phpinsttucion/Complementariafnstiution/SENAMTecnologia/23310008/ContenidolOVNICIBERSEGURIDA... 6/15271323, 17:28 Melodologias de andlisis y evaluacién de riesgos La metodologia MEHARI, que comprende las bases de datos de conocimiento, los manuales y as quias que descrben los diferentes ‘médulos (smenazas, risgos, vulnerabilidades), se encuentra disponible para ayudar a las personas implicadas en la gestion de la seguridad (CIS, responsables de riesgos, auellores y ClO), en sus diferentes tareas y actividades. MEHARI es un conjunto de herramientas y uncionalidades metodolégicas para la gestion de la 2.4.2 Fases de la metodologia MEHARI Una situacion de riesgo se puede caracterizar por diferentes factores: > Factores estructurales (u organizacionales), los cuales no dependen de las medidas de seguridad, sino de la actividad principal de a organizacién, su entomo y su contexto. > Factores de la reduccién de riesgo, que son funcién directa de las medidas de seguridad implementadas. Para ello, integra herramientas (como criterios de evaluacién, formulas, ec.) y bases de datos de conocimiento (en Particular para et diagnéstico de las medidas de seguridad), como complemento esencial al marco de analisis de riesgos. Es necesario realizar un enfoque estructurado que permitaidentifiar todas las situaciones potenciales de riesgo, con el fin «de analizar las mas criticas y poder identicar las acciones para reducir el riesgo a niveles aceptables. 2.4.2.2 Evaluaciones de Seguri MEHARI integra cuestionarios de contoles de seguridad, lo que permite evaluar el nivel de calidad de los mecanismos y soluciones encaminadas a la reduccién del riesgo. Los controles 0 medidas de seguridad se agrupan en servicios y en dominios de seguridad. Para realizar esta evaluacién es necesario seguir los siguientes pasos: > Revisién de vulnerabilidades o evaluacién de los servicios de seguridad: MEHARI proporciona un ‘modelo de riesgos estructurado quo considera los factores do reduccién del riesgo on forma do servicios de seguridad, El resultado do la evaluacién de fa vulnerablidad tenard ol fin de garantizar que los servicios de seguridad cumolen realmente su comatido. La evaluacién se basa en una base de datos experta de conocimientos proporcionada por MEHARI para evaluar el nival de calidad de las medidas de seguridad, > Planes de seguridad basados en la revisién de vulnerablidades: se realizard la confeccién de planes do seguridad coma resultado directo de la evaluacién del estado de los servicios de seguridad, Et proceso de gestion de la seguridad se enfoca en ejecutar una evaluacién y decidir mejorar todos ‘aquellos servicios que na tienen un sufcients nivel de calidad. [MEHARI proporciona unos cuestionarios de diagndstico que se pueden utlizar para este tipo de enfoque. > Apoyo en las BBDD en la creacién de un marco de referencia de seguridad: las bases de datos de cconacimiento de MEHARI se pueden utiizardirectamente para crear un marco de referencia de « Regresar seguridad que contendra y describira el conjunto de regs @ instrucciones de seguridad que debe hitpsisenatertorio.afcontentindex.phpfnsttucion/Complementarafnstiution/SENA Tecnologia/233 10008/Contenido/OVACIBERSEGURIDA. 75271323, 17:28 Melodologias de andlisis y evaluacién de riesgos seguir a organizacion Los cuestionarios de evaluacion de MEHARI son una buena base de trabajo para los responsables de seguridad para decidir lo que debe ser aplicado en a organizacién, La creacién de un conjunto de reglas, através de un marco de referencia de seguridad, se entrenta a ‘menudo difcutades en la implementacin local, por lo que se deben gestionar exenciones y excepciones. > Dominios cubiertos por el médulo de evaluacién de vulnerabiidades: desde un punto de vista de andlsis do riesgo, on base a laidentficacién de todas las situaciones de riesgo y con el deseo de cubrir todos aquellos resgos inaceptables, MEHARI no se limita simplemente al dominio IT. El médulo de evaluacién cubre, adems de lo sistemas de informacion, todo el conjunto de la organizacién, come la proteccién dal sto en general, el entorne de trabajo y los aspectos legales y regulators. 2.4.2.3 Analisis de amenazas ‘Sea cual sea la orientacién dela polica de seguridad, hay un principo en el que coinciden todos los responsables: debe cexistir un equilibrio entre las inversiones de seguridad por un lado y la importancia de los principales relos empresariales por el oro. Esto significa que la comprensin de las amenazas del negocio &s fundamental, y que el andlisis del contexto de seguridad merece un nivel priritario y un método estrict y riguroso de evaluacion Elfin del andlisis de las amenazas de seguridad es responder a la siguiente doble pregunta Qué puede suceder, y si sucede, puede ser serio? MEHARI proporciona un médulo de anaiisis de amenazas con dos tipos de resultados: > Una escala de valores de posibles maltuncionamiontos en sus procesos operacionales. > Una clasiicacisn de la informacién y de los activas Tl consiste en la definicién, para cada tipo de informacién, para cada tipo de activo Tl y para cada criterio de clasifcacién (habitualmente Confidencialldad,Integrdad y Disponibilidad). La clasificacién de la informacién de los actvos es la escala de los valores de rmalfuncionamiento definida anteriormentetraducido a indicadores de sensibilidad asociados con los activos TI La escala de valores de matfuncionamientoy la clasifcacién de la informacién y actives son dos formas distintas de cexpresar las amenazas de seguridad. El primero es mas detallado y proporcions mas informacion a los CISO y el segundo 9s mas generalist y resulta mas il para las campafias de sensibiizacion e informacion La siguiente imagen resume las caracteristicas y procesos de meharl, € Regresar hitpsfsenatertorio.afcontentindex.phpfnsttucion/Complementarafnstiution/SENA Tecnologia/233 10008/ContenidoiOVACIBERSEGURIDA. ats271929, 17:28 Metodologias de andisis y evaluacion de riesgos ein) 2.5 Identificacién de amenazas Assotance pone by Mehr Una amenaza es la posiblidad de ocurrencia de cualquier tipo de evento o accién que puede product un dafo (material o inmaterial) sobre los elementos de un sistema, en el caso de la Seguridad informatica, los elementos de Informacion. Para el caso de SP-820 esias se categorizan en tres tos: humanas, naturales y del entomo, y las siguientes son algunos ejemplos, Naturales Terremoto Inundaciones Tormentas elécticas Vendavales Huracanes Evaluacién de las Amenazas Humanas Acasa no autorzado a la infaestuctura (usuario y administrador) Ingenieria social Maticia Virus informatico (matwar Phishing Ingenieria social Denegacisn de servicio Spoofing Entorno Fallas eléctricas Polucién ‘Ternperatura Incendios Control de humedad Eaiicaciones Cereanas Accidente de trnsito Proteccién de los equipos en elsitio Fuentes de Potencia Seguridad de cableados Manterimiento de equipos Ingreso no autorizado ‘Aseguramiento de ofcinas, Fecinlos y espacios fisicos. Fellas de equipos. Acontinuacién, se muestra un ejemplo de cémo se identifican las amenazas « Regresar hitpsIsena.tertorio.lalcontentindex.phpinsttucion/Complementaria/nstiution/SENAMTecologia/23310008/ContenidolOVNICIBERSEGURIDA... 9/15‘Active A. Naturales ‘A. Humanas A Entorno Aozoso no atrzado senior Inndctn Denepocondesonnio | Humeded Suplantacién de seguridad ‘lve 2.5.1 Evaluacién de amenazas El proceso de valuacién de las amenazas se hace para cada activo en cada una de las categorias al igual que en el caso anterior temaremos como ejemplo una categoria para realizar el proceso. Evaluacién de amenazas Evaluacién de amenazas A A. Valor Active Naturales | Humanas | Ente | amenaza Servidor 1 5 3 9 Computador de eseritorio 1 ‘ 8 5 Impresora 1 1 2 4 Fotocopiadora 1 1 2 4 De la tabla anterior se puede conclu que el active llamado servidor es el que mayor valor en las amenazas tiene, 2.5.2 Identificacién de vulnerabilidades Las vulnerabilidades son debilidad de cualquier lipo que compromete la seguridad del sistema informatio, para la ientficacion de vulnerabilidades se puede recur @ dos estrategias distntas pero complementarias que son a partir dla utiizacién de herramientas tecnoligicas que de manera automética pueden identficarlas, este proceso se realiza mediante el cumplimiento de técnicas de ethical hacking siguiendo una metodologia para este proceso como ISSAF, OWASP, OSSTMM, ent otras. ‘Sin embargo, existen vuinerabiidades que deben identificarias y que ninguna herramienta tecnolégica las puede detectar como las que se .goneran por problemas eléctrcos, de control de acceso fisico a servidores y equipos, falta de documentacién de los procesos y procedimientos, entre otros que sole pueden identficarse mediante un andlsis personal, observacién directa, entrevista diida y otras estrategias de manera presencia Advisory 10: co-samosipipdesicTox4 —CvE202010136 + Download ovRF FiestPublished: 2020 June 1 1600.6MT ner9 8 Download POF Versin 1.0: Final Email Workarounds: er ClscoBugids: —_cscunssees cscwtss624 vss score: sarees O € Regresar hitpsfsenatertorio a/contentindex,phpinsttucion/Complementariafnstiution/SENATecnologia/23310008/Contenido/OVNCIBERSEGURID... 10/15271323, 17:28 Analisis de controles Melodologias de andlisis y evaluacién de iesgos En este apartado el esténdar propone una actividad que corresponde a identficary seleccionar los contoles actuales y ls controles Planificados, Los controles los podemos clasiicar en técnicos,fisicos y administrative a continuacién se mencionan algunos ejemplos de estos Ejemplos de algunos controles Controles de seguridad Controles fisicos Controles técnicos Controles administratives Camaras de cireuito cerrado Sistemas de alarmas térmicos 0 de movimiento Guardias de seguridad Identficaci6n con fotos Eneripacién Tarjetas intligantes Autenticacion a rivel de a rea Entrenamiento y conocimiento Pianos de recuperacién y preparacién para desastres. Estrategias de seleccién de personal y soma Lita cant de ccna (ACL Puna de cas con gion eepces alto ycotabided de pron Biomética nduye hls digas voz, | Soa austria de asraoa de roa, Wa costa sano ose reconacer individuos) Politicas de seguridad 2.5.3 Determinacién de probabilidades Las probabildades permiten medir en qué porcentajes se pueden llegar a presentar algtin tipo de incidente que ponga en riesgo ol correcto funcionamienta de los recursos tecnolégicos. {A igual que con las variables anteriores para su medicién nos apoyaremas en las siguientes caracteristicas: Criterios medicién probabilidad Criterios para medir la probabilidad de las amenazas La realizacion del ataque es inminente. No existen condiciones internas y externas que impidan el ALTA | dasarrlla del ataque. Existon condiciones que hacen poco probable un ataque en el corto plazo pero que no son MEDIA | suficientes para evitarlo en el largo plazo BAJA | Existen condiciones que hacen muy lejana la posibilidad del ataque. Dentro de la empresa existen una serie de vulnerabildades que pueden ser explotadas por las amenazas por lo tanto se hace necesario Aefinircriterios que permitan determinar el nivel de probabiliad de las vulnerabilidades; tres niveles son definidos con este fin como se ‘observa en la tabla siguiente: Criterios para medir la probabilidad de la vulnerabilidad € Regresar Metodologias de analisis y evaluacion de riesgos hitpsisenatertorio afcontentindex,phpinsttucion/Complementarafinstiution/SENA Tecnologia/23310008/Conterido/OVACIBERSEGURID... 11/15Melodologias de andlisis y evaluacién de riesgos 271323, 17:28 Criterios para medir la probabilidad de las vulnerabilidades Elthreat-source es altamente motivado y suficientemente capaz, ylos controles para evtar la ALTA | vulnerabilidad de ser ejercidas son inefcaces Existen condiciones que hacen poco probable un ataque en el caro plazo pero que no son El MEDIA | threat-source es attamente motivado y sufcientemente capaz, y los controles para evitar la vulnerablidad de ser ejercidas son ineficaces Elthreat-source carece de motivacién o capacidad, olos controles existen para prevenir, al BAJA | menos obstaculicen de manera significativa la vulnerabilidad de ser eercida Acontinuacién, se muestra a manera de ejemplo como es el proceso de identiicacion de las probabilidades en las amenazas y vulnerabitidedes. Probabilidad en las vulnerabilidades Tipo de amenaza Probabilidad de Aita | Media | Baja ‘Amenaza de entorno x ‘Amenaza humana Control de humedad (Cuarto de telecomunicaciones) Polucién (cuarto de telecomunicaciones) Falta de cumplimionto de la normatividad de cableado estructurado (Armario) Probabilidad en las vulnerabilidades Vulnerabilidad Alta | Medi Baja No se tiene un canal de backup con ISP en caso de fallo de canal principal Cableado de red y eléctrco junta en algunos sito. No existen barras de puesta a tiarra dentro del cuarlo de comunicaciones y en rack No se tiene un plano adecuade para mirar distancias de puntos de red, pero por ‘observacién de algunas ofcinas se sobrepasa la distancia maxima, Falta do otiquotas adecuadas de equips actives y servidores. 'No se maneja un mecanismo de contol de humedad. No se tiene un diagrama Kégica de conexién de equipos. 2.5.4 Anal Para determinar el establecimiento de prioridades en la proteccién y prevencién, se requiere conocer cual cuales activos pueden ser de impacto potencialmente afectados por incidentes de seguridad. Regresar hitpsisena.tertorio.lalcontentindex.phpinsttucion/Complementaria/nstiution/SENATecnologia/233 10008/ContenidolOVACIBERSEGURID. sans.271323, 17:28 Melodologias de andlisis y evaluacién de iesgos En caso de que haya afectaciones a los acvos se debe determinar cual es la afectacion y grado de problema que podria causar en la organizacién, este grado de afectacién puede medirse desde las consecuencias econémicas,indisponibilidades de acceso entre otras. El impacto debe medirse con base a los tres principios de la seguridad: la confidencialidad, la integridad y la disponibilida. El impacto se puede medi en tres riveles que son: ALTO. | Enel corto plazo desmovilza o desarlicua ala organizacién Provocs la desarticulacién de un componente de la organizacién. Sino se MEDIO | atiende a tiempo, a largo plazo puede provocar la desartculacién de le ‘organizacién. ‘Causa dafio aislado, que no periudica a ningun componente de la organizacién AAcontinuacién, s® presenta a manera de ejemplo como se puede realizar el proceso de evaluacién del impact. Ejemplo Medicién del Impacto Activos ‘ Arent sos Principios de la Seguridad Informatica Impacto Confidencialidad | integridad | Disponibilidad | Aito | Medio | Bajo Servidor x x x x Estaciones de trabajo x x x x Impresiora x x x x 2.5.5 Determinacién del riesgo Elriesgo 0s ol efecto negative cuando se produce un impacto sobre un activo, teniando en cuenta tanto la probabilidad de la amonaza y ol impacto de esta, Una efecva administracin de riesgos se necesita para evaluar y mitigar los riesgos identifcadas en la empresa, 2= Baja Dentro de este émbito la Probabilidad de Amenaza e Impacto de las 3= Mediana 4= Alta € Regresar hitpsisena.ertrio.lalcontentindex.phpinsttucion/Complementariafnstiution/SENAMTecologia/233 10008/ContenidoiOVAICIBERSEGURID.... 13/15271323, 17:28 Melodologias de andlisis y evaluacién de iesgos Bajo Riesgo = 6-9 EI Riesgo, se calcula coma el producto dela multiplicacién Medio Riesgo = 10-12 Alto sgo = 13-16 ALTO. | Enel corto plazo desmovilza o desartiula ala organizacién, Provoca la desarticulacién de un componente de la organizacién. Sino se MEDIO | atiende a tiempo, a largo plazo puede provocar a desarticulacion de la ‘organizacién, aaso | Causa dato asiado, que no perudica a ringin componente de la organizacion ‘Acontinuacién, se presenta a manera de ejemplo como seria el proceso general dela valuacién del riesgo, Ejemplo Evaluacién del Riesgo ANALISIS DE RIESGOS PROBABILIDAD DE AMENAZA IMPACTO {alto=4, Medio=3, Bajo=2) HUMANA ENTORNO ESCALA Falta de PARA ‘cumplimiento ‘Amenaza | Control de humedad de la IMPACTO | Amenaza | “de (Cuarto de normatividad humana | gntorno | telecomunicaciones) | telecomunleaciones) | ue cableado estructurado (Armario) 4 3 3 3 4 Servidor 4 16 2 2 16 Estaciones de trabajo 8 2 8 8 8 ” Impresora 4 16 12 2 2 16 4 16 2 2 2 16 Rack 4 16 2 2 2 16 2.5.6 Recomendaciones de Controles € Regresar hitpsisena.tertorio.lalcontentindex.phpinsttucion/Complementaria/nstiution/SENAMTecnologia/23310008/ContenidoiOVNICIBERSEGURID... 14/15271929, 17:28 Melodologias de analsis y evaluacion de riesgos Como la revision de tas politcas de seguridad, actualizacion de antivirus, cambio periédico de contrasefias, instalacion de frewalls 0 sanciones en caso de incumplimiento de la normative vigente. Los controles pueden ser preventivs, correctvos 0 detectivos los cuales deben responder a las necesidades de mitigacion alos lesgos identficados. Una vez ealculado el riesgo, debemas tratar aquellos riesgos que superen un limite que nosotros mismos hayamos establecido. Por ejemplo, trataremos aquellos riesgos cuyo valor sea igual superior a6" 0 superior a "Medio" en caso de que hayamas hecho el elculo en términos cualitatvos. Ala hora de trata el riesgo, existen cuatro estrategias principales: Transferir el riesgo a un tercero Por ejemplo, contratando un seguro que cubra los dafios a terceros ‘ocasionads por fugas de informacion. Eliminar el riesgo Por ejemplo, eliminando un proceso o sistema que esté sujeto a un riesgo clevado. En el caso practico que hemos expuesto, podriamas eliminar la wif de cortesia para dar servicio a los clientes sino es estrctamente necesaro, Asumir el riesgo ‘Siempre justicadamente. Por ejemplo, el caste de instalar un grupo electrégeno puede ser demasiado alto y por tanto, la organizacién puede ‘optar por asumir. Implantar medidas para mitigarlo Por ejemplo, contratando un acceso a internet de respaldo para poder acceder alos servicios en la nube en caso de que la linea principal haya aldo. 2.5.7 Documentacién de resultados En esta fase realizamos el informe correspondiente a la valoracin de rissgos que incluye la valuacion, incluyendo los controle a implementar. 1 plan de tratamiento de riesgos « Regresar hitpsisena.ertorio.lalcontentindex.phpinsttucion/Complementaria/nstution/SENAMTecnologia/233 10008/ContenidoiOVNICISERSEGURID... 15/15