riesgo: es el potencial que una amenaza determinada explote las vulnerabilidades de un activo y que...

Riesgo: Es el potencial que una amenaza determinada explote las vulnerabilidades de un activo y que ocasione pérdida de los activos o daños a los mismos. El riesgo se mide mediante la combinación del impacto y de la probabilidad de que ocurra.

ANÁLISIS Y GESTIÓN DEL RIESGO:RIESGO

Riesgo Global: Es la combinación de los elementos de riesgos para formar una visión global del riesgo en la organización.

Riesgo Residual: Es el nivel de riesgo resultante una vez se han aplicado los controles.

ANÁLISIS Y GESTIÓN DEL RIESGO:RIESGO

Análisis y Gestión del riesgo:Impacto Es el resultado de una amenaza. Generalmente están relacionadas a pérdidas

financieras Pérdida directa de dinero Violación de Leyes Pérdida de Reputación Reducción de la eficiencia

Análisis y Gestión del riesgo:Control Acciones que son establecidas en políticas y

procedimientos en la organización para reducir el riesgo.

Análisis y Gestión del riesgo:Clases de Controles Estos controles están diseñados Estos controles están diseñados

para corregir los errores, las para corregir los errores, las omisiones y los usos e intrusiones omisiones y los usos e intrusiones no autorizados una vez que éstos no autorizados una vez que éstos

sean detectados.sean detectados.

Estos controles existen para Estos controles existen para detectar y para reportar cuando detectar y para reportar cuando

ocurran errores, omisiones y el uso ocurran errores, omisiones y el uso o el ingreso no autorizadoo el ingreso no autorizado..

Son acciones o medidas Son acciones o medidas adoptadas para asegurar la adoptadas para asegurar la

detección temprana o responder detección temprana o responder en forma anticipada a posibles en forma anticipada a posibles

vulnerabilidadesvulnerabilidades..

Estos controles están diseñados Estos controles están diseñados para impedir o para restringir un para impedir o para restringir un error, omisión o una intrusión no error, omisión o una intrusión no

autorizada.autorizada.

Controles Proactivos

Controles Preventivos

Controles Detectivos

Controles de Recuperación

ANÁLISIS Y GESTIÓN DEL RIESGO

1

GESTIÓN REACTIVA VS. GESTION PROACTIVA.

• Identificar riesgos potenciales.• Evaluar su probabilidad y su impacto.• Establecer prioridades.RIESGO 2 Características:

• Incertidumbre: El acontecimiento que caracteriza al riesgo puede ocurrir o no.

• Pérdida: Magnitud de las consecuencias si el riesgo se presenta.

Proceso de Implementación

Identificar Riesgos

Análisis: clasificar y evaluar riesgos

Análisis: Prioridades

Plan: asignar y Aprobar

Plan: defineacciones

Monitoreo de Riesgos Control de riesgo

Declaración y contexto del riesgo

Clase, prob., impacto y ocurrencia del riesgo

Prioridadlistado de

riesgo

AsignacionesY planes

aprobados

Plan para contra restar

el riesgo

Reporte desituación

Decisiones


2

A. RIESGOS DEL PROYECTO: • Amenazan el plan de Proyecto Retrasos y aumento de costos.• Problemas con: Presupuesto, Planificación temporal, Personal, Recursos, Cliente y Requisitos y el IMPACTO de cada uno de ellos.

B. RIESGOS TECNICOS:Amenazan la planificación temporal

y la calidad del SW a producir.

Problemas con: Diseño, Implementación, Interfaz, Verificación, Mantenimiento.Factores: Ambigüedades en la especificación, Incertidumbre técnica, Técnicas (o bien anticuadas o bien “de punta”).

CATEGORIAS DE RIESGO

C. RIESGOS DE NEGOCIOSAmenazan la viabilidad.

De Mercado: Tener algo muy bueno que nadie necesita. Un producto que no se sepa cómo venderlo.Estratégico: el producto no encaja en las estrategias comerciales.De dirección: Perder apoyo de gestión experta.Monetario: Perder presupuesto o personal.


3

• RIESGOS CONOCIDOS: Aquellos que pueden descubrirse por factores asociados directamente al proyecto actual.• RIESGOS PREDECIBLES: de la experiencia de proyectos anteriores.• RIESGOS IMPREDECIBLES: PLUG AND PRAY!IDENTIFICACION DEL RIESGO.

Un método: Crear una lista de comprobación de elementos de riesgo.

Tamaño del producto R. A. con el tamaño general del sw a construir.Impacto en el negocio R. A. con limitaciones impuestas por gestión o el mercado.Características del cliente R. A. con sofisticación del cliente y habilidad para comunicarse con él.Definición del proceso R. A. con el grado de definición del proceso de SW y su seguimiento durante el desarrollo.Entorno de desarrollo R. A. con disponibilidad y calidad de las

herramientas a emplear.Tecnología a construir R. A. con la complejidad del sistema a construir.Tamaño y experiencia del grupo R. A. con experiencia técnica y de proyectos.


4

Evaluación Global del riesgo del proyecto.

1. ¿Se han asignado los gestores del software y clientes formalmente para dar soporte al proyecto?

2. ¿Están completamente entusiasmados los usuarios finales con el proyecto y con el sistema/producto a construir?

3. ¿El equipo de ingenieros de software y los clientes han todos los requisitos?

4. ¿Han estado los clientes involucrados por completo en la definición de requisitos?

5. ¿Tienen los usuarios finales expectativas realistas?

6. ¿Es estable el ámbito del proyecto? 7. ¿Tiene el Ingeniero de SW el conjunto de habilidades?8. ¿Son estables los requisitos del proyecto?9. ¿Tiene experiencia el equipo del proyecto con la tecnología a

implementar?10. ¿Es adecuado el número de personas del equipo del proyecto para

realizar el trabajo?11. ¿Están de acuerdo todos los clientes/usuarios en la importancia del

proyecto y en los requisitos del sistema/producto a construir?


5

COMPONENTES Y CONTROLADORES DEL RIESGO.

Identificar los controladores que afectan a los componentes de riesgo software:

C. R. Rendimiento G.I. con el que el producto encontrará sus requisitos y se adecue para el uso que se pretende darle.

C. R. Coste G. I. que mantendrá el presupuesto del proyecto.

C. R. Soporte G. I. de la facilidad del SW para corregirse, adaptarse y mejorarse.

C. R. Planificación temporal G. I. con que se podrá mantener la planificación temporal y de que el producto se entregue a tiempo.


6

PROYECCION DEL RIESGO.Combinación entre probabilidad de ocurrir

y su impacto.

1. Establecer escala q’ refleje probabilidad. 2. Definir consecuencias.3. Estimar impacto en proyecto y en producto.4. Apuntar exactitud general de la estimación.

Se tienen en cuenta en primer lugar:

1. Riesgos de gran impacto y probabilidad moderada en adelante.

2. Riesgos de bajo impacto pero de gran probabilidad.


7


8

Matriz de Priorización de Riesgos.


9

EXPOSICION AL RIESGO (ER) (¿Cuánto me cuesta?).Identificación del riesgo. Probabilidad del riesgo.Impacto del riesgo

Cantidad promedio de LDC por componente = 100 LDC.Valor de LDC x Componente = 14.00 ₤ / LDC.

Costo global (Impacto) = 18 comp * 100 LDC/comp * 14 ₤/LDC = 25200 ₤

ER = P * C = 0.8 * 25.200 ₤ = 20.200 ₤.¡ESTO SE HACE PARA CADA RIESGO!

EVALUACION DEL IMPACTO DEL RIESGO.Factores que afectan a las consecuencias probables de un riesgo si ocurre:

NATURALEZA Problemas probables.ALCANCE Severidad + Distribución general.TEMPORIZACION Cuándo aparecerá y por cuánto tiempo se hará sentir.


10

Reducción, Supervisión y Gestión de Riesgos

Reducción Estrategias xa evitar que ocurra. (Al comienzo del proyecto).Supervisión Revisión de factores durante el proyecto. Gestión Planes de contingencia si el riesgo aparece.

¡TODO ESTO INEVITABLEMENTE AUMENTA COSTOS!

Ayudarse de la Ley de Pareto (80/20): 80 por ciento de las consecuencias posibles radican

en el 20 de los factores identificados.

80 por ciento del fracaso radica en el 20 de los riesgos.


11

El plan RSGR

Todos los documentos del plan RSGR se llevan a cabo como parte del análisis de riesgo y son empleados por el jefe del proyecto como parte del Plan del Proyecto general. A continuación se expone un esquema del Plan RSGR.

I. Introducción1. Alcance y propósito del documento2. Visión general de los riesgos principales3. Responsabilidadesa. Gestiónb. Personal técnico

II. Tabla de riesgo del proyecto.1. Descripción de todos los riesgos por encima de la línea

de corte2. Factores que influyen en la probabilidad e impacto


11

El plan RSGR

III. Reducción, supervisión y gestión del riesgo

n. Riesgo # na. Reducción

i.Estrategia general.ii. Pasos específicos.

b. Supervisióni. Factores a supervisar.ii. Enfoque de supervisión.

c. Gestióni. Plan de contingencia.ii. Consideraciones especiales.

IV. Planificación temporal de revisión del Plan RSGRV. Resumen


12

El plan RSGRUna vez que se ha desarrollado el plan RSGR y el proyecto ha comenzado, empiezan los procedimientos de reducción y supervisión del riesgo.

La reducción del riesgo es una actividad para evitar problemas.

La supervisión del riesgo es una actividad de seguimiento del proyecto con tres objetivos principales:

(1) Valorar cuando un riesgo previsto ocurre de hecho; (2) Asegurarse de que los procedimientos para evitar el riesgo definidos para el riesgo en cuestión se están aplicando apropiadamente; (3) Recoger información que pueda emplearse en el futuro para analizar riesgos.

En muchos casos, los problemas que ocurren durante un proyecto pueden afectar a más de un riesgo. Otro trabajo de la supervisión de riesgos es intentar determinar el "origen" (qué riesgos ocasionaron tal problema) a lo largo de todo el proyecto.

Caso Práctico

Servidores Web

Servidores

Estaciones

Internet

Servicios Bancarios, S.A.Diagrama de Red

Antecedentes

El 89.4% de los incidentes registrados en Internet son de accesos no autorizados El 27.7% de esto lo constituye acceso a sistemas de

claves. El 24.1% lo constituye accesos a cuentas El 37.6% lo constituyen intentos de acceso

El 10.6% restante lo conforma el uso no autorizado El 2.4% lo constituye ataques de negación de servicios El 3.1% lo constituye incidentes de corrupción de

información. El 5.1% incidentes de revelación de información.

Antecedentes(Continuación…)

El 18.1% de los incidentes registrados en Internet utilizaron algún tipo de herramientas El 15.4% utilizó los caballo de Troya

El 45.3% restante explotó alguna vulnerabilidad El 21.8% lo constituye las palabras claves fáciles de

adivinar, descifrado de palabras claves, entre otros . El resto explotó fallas en las configuraciones,

servidores, correo electrónico, etc.

Declaración y Contexto de Riesgo

Identificador

Declaración Contexto Origen Clase Fecha

Bomba de Correo Electrónico

La falta de filtros puede conllevar a un ataque de este tipo.

Serie de mensajes enviados a una casilla de correo con un tamaño promedio de 2MB

Juan Pérez, Especialista de Seguridad

Experiencia en otra instalación

15/10/01

Negación de Servicios

La falta de actualización e implementación de medidas correctivas conllevan este tipo de ataque

Pueden atacar los equipos y sistemas inhabilitando los servicios para los cuales han sido establecidos.

Luis Pinzón, Administrador de SO

Experiencia en otra instalación

15/10/01

Scanner Son programas que detectan en forma automática las debilidades de la red

La información resultante en conjunto con un análisis integral puede facilitar el ataque a las áreas vulnerables de toda la instalación


Experiencia en nuestra instalación

15/10/01

Forma de Evaluación

Riesgo ImpactoSignificativo

Probabilidadde Ocurrir

Marco deTiempo

Evaluación Binaria

Bomba de Correo Electrónico

3

Scanner 4

Virus 7

Captura de Paquetes

4

Windows NT 7

Vulnerabilidades Conocidas

7

Negación de Servicios

7

Gráfica de Barra de Riesgo

0

0,5

1

1,5

2

2,5

3

3,5

4

Número Riesgo

HerramientaPlataforma

Clasificación de Riesgos

Categoría Identificador Riesgo

Herramientas 1A Bomba de Correo Electrónico

1B Scanner

1C Virus

1D Captura de Paquetes

Plataformas 2A Windows NT

2B Vulnerabilidades Conocidas

2C Negación de Servicios

Comparación de Rango de Riesgo

Riesgo 1A 1B 1C 1D Resultado

1A 0 1 0 .5 1.5

1B 0 0 0 .5 .5

1C 1 1 0 1 3

1D .5 .5 0 0 1

Lista de Acción por Riesgo

Identificador

Riesgos Existentes

Estrategia Correctiva

Descripción de la Acción

Asignado a:

Fecha

1A – Bomba de Correo Electrónico

Upyour.zip, kaboom3.zip, bomb.exe, mailbomb.c

-Erradicar archivos de bomba de correo.-Filtros: www.stalker.com , www.antispam.org www.spamkiller.com

Obtener archivo correctivo vía internet o proveedor local correspondiente a la plataforma seleccionada


15/10/01

1B – Scanner Revelan las debilidades de una red en forma detallada y ordenada. Pueden ser utilizado tanto por los administradores como por los hackers

Scanners o IDS disponibles:Webtrend, Enterprise Security Manager, Netprowler, ISS,, patchwork.

Identificar los scanners disponibles y sus filosofías de acción para escoger los más adecuados para nuestra instalación.


15/10/01

2B - Vulnerabilidades Conocidas

Ataques conocidos: bonk.c, hanson.c, land.c

Arreglos disponibles: microsoft, www.real.com , etc

Obtener archivo correctivo vía internet o proveedor.


15/10/01

Hoja de Monitoreo del RiesgoIdentificador del Riesgo

Prioridad DeclaraciónDel Riesgo

Situación del Riesgo

Probalidad Impacto Asignado a:

1A – Bomba de Correo Electrónico

2 No se utiliza filtros de correo electrónico

Riesgo de seguridad presente. Posible negación de servicio.

Media Bajo Juan Pérez, especialista de Seguridad

1B – Scanner 3 No se utiliza el scanner en forma frecuente

Puntos vulnerables de la red de fácil corrección se encuentran presentes

Baja Medio Luis Pinzón, Administrador de base de datos

2C - Negación de servicios

1 Ataque dirigido frecuentemente a ruteadores y web serves con mucha efectividad

Cada ataque conocido tiene su medida correctiva

Media Alto Luis Pinzón, Administrador de Base de Datos

Identificador: 1A Hoja de Información del Riesgo Identificado: Fecha de identificación del riesgo

Prioridad: 2 Declaración: La falta de filtros de correo electrónico puede conllevar a un ataque de negación de servicio en el que un ruteador o un servidor de correo electrónico están bajo un continuo ataque; lo que constituye un riesgo de seguridad

Probabilidad:Media

Impacto: Bajo Origen:Juan Pérez, Especialista de Seguridad

Clase: Experiencia de otra instalación

Asignado a: Juan Pérez, Especialista de Seguridad

Contexto: Una bomba de correo electrónico es simplemente una serie de mensajes (probablemente miles) enviados a una casilla de correo. Su tamaño promedio es de 2MB. Su intención es llenar la casilla de correo con basura. De no implementarse filtros de correo podría conllevar a la negación de servicios y constituir un riesgo de seguridad.

Estrategia Correctiva: 1. Identificación de los paquetes de bombas. 2. Identificación de las aplicaciones de filtros. 3. Entrenamiento al personal.

Plan de Contingencia y Activación: Plan: Contratar servicios profesionales que proporciones entrenamiento en la instalación y utilización de filtros de correo. Activación: De no satisfacer la solución interna

Situación: Casos reportados, tipo de bomba identificada, filtros instalados y Personal Capacitado.

Fecha de Situación: 23/10/03

Aprobado: Ramón Pérez, Director de Seguridad de SI

Fecha de Clausura: 23/10/03.

Comentario de Clausura: Las acciones fueron emprendidas inmediatamente.

¿Es esto suficiente para ….?

Asegurarme de la dependencia creciente en TI.

Director

Protegerme de las nuevas vulnerabilidades en la TI.

Asegurar que las inversiones actuales y futuras en TI realmente sirvan a los objetivos de la organización.

Utilizar al máximo el potencial de la TI para cambiar la organización y nuestras practicas; crear nuevas oportunidades y reducir costos

Conclusiones La administración de riesgo nos permite reducir los

riesgo antes que estos se presenten en el desarrollo de proyectos de software.

Identifica los problemas potenciales y actúa sobre ellos en una forma mas económica para evitar impactos negativos en el desarrollo de software.

Cada organización debe modelar su propia metodología de análisis y manejo del riesgo de acuerdo a sus necesidades

El trabajo en equipo es una de las claves de éxito en el correcto manejo de los riesgos.

Las evaluaciones deben hacer énfasis en escenarios existentes y no hipotéticos.

riesgo: es el potencial que una amenaza determinada explote las vulnerabilidades de un activo y que...

Documents