Diferencias

Muestra las diferencias entre dos versiones de la página.

--- master_cs:gsi:tm1 [2025/09/15 14:51] – thejuanvisu
+++ master_cs:gsi:tm1 [2026/01/13 19:59] (actual) – thejuanvisu
@@ Línea 10: / Línea 10: @@
 Se tienen en cuenta la combinación de la probabilidad que ocurran y el impacto que puede provocar dicho riesgo. Cuanto mayores sean la probabilidad y el impacto, peor.
   * El **impacto** se suele analizar calculando pérdidas económicas, reputacionales o pérdidas en el servicio. Se suelen usar escalas de 5 o 7 niveles yendo de extremadamenete bajo a extremadamente alto.
-  * Riesgo = Impacto (Consecuencias) * Probabilidad
+<WRAP box>
+$Riesgo = Impacto (Consecuencias) * Probabilidad$
+</WRAP>
   * Formas
     * Cuantitativa: Cifra numérica
@@ Línea 54: / Línea 56: @@
 Se tienen en cuenta los siguientes factores en las vulnerabilideaes:
-  * Facilidad de descubrimiento
+  * **Facilidad de descubrimiento**: como de fácil es para un agente descubrir la vulnerabilidad
-  * Facilidad de explotación
+  * **Facilidad de explotación**: Como de fácil es para un grupo de agentes explotar la vulnerabilidad
-  * Facilidad de intrusión
+  * **Conocimiento**: Como de conocida es la vulnerabilidad entre el grupo de agentes.
+  * **Facilidad de intrusión**: Cual es la posibilidad de detectar el exploit.
 ===== Escala de impacto =====
@@ Línea 74: / Línea 77: @@
     * Integridad
     * Disponibilidad
+===== Puntuaciones de Impacto del OWASP =====
+==== Factores técnicos ====
+  * **Pérdida de confidencialidad**: Cuantos datos puieden ser difundidos y como de sensibles son.
+  * **Pérdida de integridad**: Cuantos datos pueden ser corrompidos o dañados
+  * **Perdida de disponibilidad**: Cuanto serivio puede ser perdido y como de vital es.
+==== Factores de impacto de negocio ====
+  * **Daño financiero**: Cuanto daño financiero puede resultar de un exploit
+  * **Daño reputacional**: Cuando taño repuitacional puede provocar un exploit y como puede dañar al negocio.
+  * **No Cumplimiento**: Cuanta exposición puede provocar el no cumplimiento.
+  * **Violación de la privacidad**: Cuantos datos identificables pueden ser difundidos.
 ===== Opciones del tratamiento del riesgo =====
@@ Línea 94: / Línea 110: @@
     * Controles correcivos
-===== Metodologías =====
+===== MAGERIT (Metodología de Análisis y GEstión de Riesgos para Information Technologies) =====
+Indica un conjunto de pasos que se deben realizar al analizar el riesgo. Tiene los siguientes objetivos:
+==== Objetivos ====
+__//Objetivos directos//__
+  * Hacer que los responsables de los sistemas de la información sean conscientes de la existencia de riegos y la necesidad de mitigarlos a tiempo.
+  * Ofrecer un método sistemático para el análisis de dichos riresgos.
+  * Ayudar a describir y planear las medidas apropiadas para matener el riesgo bajo control.
+__//Objetivos Indirectos//__
+  * Preparar la organización para el proceso de evaluación, auditoría, certificación y acreditación.
+==== Dimensiones de la seguridad ====
+  * Confidencialidad, integridad y disponibilidad
+  * Autenticidad.
+  * Responsabilidad.
+==== Método de Análisis de Riesgos ====
+  - Determinar los **activos** relevantes de la organización, su valor y el coste causado por su daño o pérdida.
+  - Determinar las **amenazas** a las que están expuestos dichos activos
+  - Determinar que **salvaguardas** están disponibles y como de efectivas son contra el riesgo
+  - Estimar el **impacto** de la aparición de una amenaza
+  - Estimar el **riesgo**
+==== Paso 1: Activos ====
+Los activos incluyen información, datos, servicios, software, equipamiento, comunicaciones, media, instalaciones y personal. Hay dos tipos especiales de activo en un sistema de información:
+  * La información que se maneja
+  * Los servicios proveidos
+Solo aquellas fuentes de información que tengan valor para la organización se consideran de importancia.
+==== Paso 2: Amenazas ====
+Son eventos que causan un incidente en la organización, provocando daños a la propiedad o pérdidas intangibles en los activos. Hay varios tipos:
+  * Origen natural: Desastres naturales
+  * Ambientales: Contaminación, fallos eléctricos...
+  * Fallos de aplicación: Fallos de diseño o implementación que tienen consecuencias negativas en el sistema.
+  * Amenazas accidentales
+  * Causadas deliberadamente.
+Se estima la exposición de un activo basándonos en 2 aspectos:
+  * Degradación: La cantidad de daño causado al activo
+  * Posibilidad de ocurrencia: Con que fercuencia puede ocurrir
+==== Impacto ====
-==== Magerit ====
+Es la pérdida de valor causada por un accidente. Hay varios factores a tener en cuenta:
-Indica un conjunto de pasos que se deben realizar al analizar el riesgo.
+  * Coste de reemplazo
+  * Coste de tiempo de trabajo invertido en la recuperación
+  * Pérdida de ganancias
+  * Pérdida de la operatividad
+  * Pérdidad de capacidad de tolerancia
+  * Penalizaciones debido al no cumplimiento de leyes o contratos
+  * Daño a otros activos
+  * Daños personales
+  * Daño medioambiental
-==== ISO27005 ====
+==== Paso 3: Salvaguardas ====
+Son procedimientos o mecanismos tecnológicos para reducir el riesgo. Hay 2 tipos de argumentos para rechazar una salvaguarda:
+  * No se aplica, no sirve para los activos de la ampresa
+  * No está justificada, es desproporcionada

Knoppia

Herramientas de usuario

Herramientas del sitio

Diferencias

Herramientas de la página