Plan Director de Seguridad Hoja Para El Analisis de Riesgos (Version 1)

May 10, 2018 | Author: Daniel López | Category: Cloud Computing, Function (Mathematics), Risk, Technology, Computing


Comments



Description

ANÁLINSTRUCCIONES PA 1º DESCRIPCIÓN DE LA APLICACIÓN: La presente aplicación ha sido diseñada como herramienta para facilitar el análisis de riesgos solicitado en l A continuación se procederá a describir el contenido de cada hoja de la aplicación: w Hoja «Ejemplo de análisis»: contiene un ejemplo de análisis de riesgos que podrás utilizar como referencia w Hoja «Tablas AR»: incluye unas tablas orientativas para realizar las valoraciones de la probabilidad y el imp w Hoja «Catálogo amenazas»: refleja las principales amenazas a considerar en el ámbito de un análisis de rie w Hoja «Activos»: contiene un listado con los activos definidos para cada uno de los modelos de empresa pro w Hoja «Cruces Activo-Amenaza»: se utilizará para especificar las amenazas que afectan a los activos del m w Hoja «Análisis de Riesgos»: se utilizará para realizar el análisis de riesgos. Se debe indicar la probabilidad 2º FUNCIONAMIENTO DE LA APLICACIÓN: w Paso 1: en la hoja «Activos» existe una columna llamada «aplicación». Esta columna contiene una lista de apliquen dependiendo del modelo de empresa elegido (el resto se dejarán en blanco o se rellenarán con «N w Paso 2: en la hoja «Cruces Activo-Amenaza» se muestra en la primera columna todas las amenazas y en hoja «Activos»). El objetivo de esta hoja es incluir un «SI» (igual que en el paso 1) en los cruces entre activo «Análisis de Riesgos». w Paso 3: en la hoja «Análisis de Riesgos» se debe pulsar el botón «Mostrar activos» (en la esquina superio elegidos, con cada una de las amenazas asociadas a dichos activos. w Paso 4: en la hoja «Análisis de Riesgos» se debe elegir la probabilidad y el impacto de cada amenaza sob (Bajo(1), Medio(2), Alto (3)). Una vez seleccionados se mostrara en la columna riesgos un número que repre casilla del color correspondiente. ANÁLISIS DE RIESGOS STRUCCIONES PARA REALIZAR LA ACTIVIDAD FINAL de riesgos solicitado en la actividad final del curso. s utilizar como referencia para realizar la actividad. e la probabilidad y el impacto según una escala de tres valores. mbito de un análisis de riesgos. modelos de empresa propuestos en las instrucciones de la actividad final. fectan a los activos del modelo elegido. be indicar la probabilidad y el impacto de cada amenaza sobre cada uno de los activos. mna contiene una lista de dos opciones (SI/NO). Hay que rellenar con «SI» los activos que se o o se rellenarán con «NO»). odas las amenazas y en la primera fila los indicadores de activos (que se corresponden con los de la en los cruces entre activo y amenaza para que después se muestren automáticamente en la hoja s» (en la esquina superior izquierda). Este botón mostrará automáticamente todos los activos cto de cada amenaza sobre cada activo (se trata otra vez de una lista, pero con tres posibilidades gos un número que representa el riesgo acorde a la tabla de la hoja «Tablas AR» y el fondo de la Esta información es facilitada por INCIBE de forma absolutamente gratuita y d responsabiliza del uso que pueda ANÁLISIS DE RIE ACTIVO Servidor 01 (Contabilidad) Servidor 01 (Contabilidad) Router Wifi (Clientes) Router Wifi (Clientes) Servidor 02 (Web) Servidor 02 (Web) … Este documento permite realizar un análisis de riesgos sencillo en base a una escala de probababilidad e 1. Determinar el riesgo aceptable por la organización, e indicarlo en la pestaña "Tablas AR". 2. Identificar los activos críticos de la organización. 3. Identificar las amenazas que aplican a cada uno de los activos críticos, según la pestaña "Catálog 4. Establecer la probabilidad y el impacto de que dicha amenaza se materialice, según los valores d 5. Establecer medidas para aquellos riesgos que superen el riesgo aceptable indicado. Campos de la tabla: Activo: Nombre del activo sobre el que se evalúa el riesgo. Amenaza: Descripción de la amenaza a la que está expuesta el activo. Probabilidad. Probabilidad de materialización de la amenaza. Impacto. Impacto derivado de la materialización de la amenaza. Riesgo. Valor de riesgo resultante. En las pestañas de la hoja Excel se incluye información relevante sobre los niveles orientativos de proba básico. n es facilitada por INCIBE de forma absolutamente gratuita y debe considerarse como una primer responsabiliza del uso que pueda hacerse de la misma. ANÁLISIS DE RIESGOS AMENAZA Fuga de información Degradación de los soportes de almacenamiento de la información Caída del sistema por sobrecarga Denegación de servicio Denegación de servicio Corte del suministro eléctrico (Añadir a la tabla tantas filas como sea necesario) escala de probababilidad e impacto de tres niveles. Instrucciones: staña "Tablas AR". según la pestaña "Catálogo Amenazas". erialice, según los valores de la pestaña "Tablas AR". ble indicado. veles orientativos de probabilidad y riesgo, así como un catálogo de amenazas arse como una primera aproximación. INCIBE no se misma. PROBABILIDAD IMPACTO RIESGO 2 3 6 1 3 3 1 2 2 2 1 2 3 2 6 1 2 2 Esta información es facilitada por INCIBE de forma absolutamente gratuita y de responsabiliza del uso que pueda h TABLA PARA ESTIMAR LA P VALOR Bajo (1) Medio (2) Alto (3) TABLA PARA ESTIMAR E VALOR Bajo (1) Medio (2) Alto (3) CRITERIOS DE ACEPTACIÓN RANGO Riesgo <= 4 Riesgo > 4 SI NO . se incluye una tabla para la definición del riesgo aceptable. La amenaza se materializa a lo sumo una vez cada semana. . Asimismo. a información es facilitada por INCIBE de forma absolutamente gratuita y debe considerarse com responsabiliza del uso que pueda hacerse de la misma. La amenaza se materializa a lo sumo una vez cada mes. que debe se de acuerdo a la estrategia corporativa. TABLA PARA ESTIMAR LA PROBABILIDAD DESCRIPCIÓN La amenaza se materializa a lo sumo una vez cada año. El daño derivado de la materialización de la amenaza tiene consecuencias graves reseñables para la organizac CRITERIOS DE ACEPTACIÓN DEL RIESGO DESCRIPCIÓN La organización considera el riesgo poco reseñable. puede aumentarse el número de intervalos de la escala. La organización considera el riesgo reseñable y debe proceder a su tratamiento. El daño derivado de la materialización de la amenaza tiene consecuencias reseñables para la organización. Debajo se recogen tablas orientativas para realizar las valoraciones de impacto seg se desee conseguir. TABLA PARA ESTIMAR EL IMPACTO DESCRIPCIÓN El daño derivado de la materialización de la amenaza no tiene consecuencias relevantes para la organización. de detalle que is de riesgos no se . gob. pueden c http://administracionelectronica.es Esta información es facilitada por INCIBE de forma absolutamente gra Amenazas Fuego Corte del suministro eléctri Daños por agua Condiciones inadecuadas Desastres naturales Fallo de servicios de comu Interrupción de otros servic Amenazas Desastres industriales Fuga de información Introducción de falsa información Alteración de la información Degradación de los soport Corrupción de la información Difusión de software dañin Destrucción de información Errores de mantenimiento Interceptación de información (escucha) Errores de mantenimiento Caída del sistema por sobr Pérdida de equipos Indisponibilidad del person Abuso de privilegios de ac Acceso no autorizado . El siguiente listado recoge las principales a extracto ligeramente modificado del catálo Para información más detallada. Se trata de un odificado del catálogo de amenazas de MAGERIT. Amenazas Amenazas orte del suministro eléctrico Errores de los usuarios ondiciones inadecuadas de temperatura o humedad Errores del administrador allo de servicios de comunicaciones Errores de configuración terrupción de otros servicios y suministros esenciales esastres industriales Amenazas Denegación de servicio Amenazas Robo egradación de los soportes de almacenamiento de la información Indisponibilidad del personal fusión de software dañino Extorsión rores de mantenimiento / actualización de programas (software) Ingeniería social rores de mantenimiento / actualización de equipos (hardware) aída del sistema por sobrecarga érdida de equipos disponibilidad del personal buso de privilegios de acceso cceso no autorizado . INCIBE no se responsabiliza del uso que pueda hacerse de la misma.htm?idIniciativa=184#.es/ctt/verPestanaDescargas. detallada. pueden consultarse los catálogos de MAGERIT V3 en su página web: electronica.U48C7Pl_tO4 absolutamente gratuita.gob.oge las principales amenazas a considerar en el ámbito de un análisis de riesgos. riesgos. Se trata de un a web: 48C7Pl_tO4 hacerse de la misma. Amenazas usuarios ministrador figuración Amenazas servicio d del personal al . Identificador Modelo A A1 A2 A3 Modelo B B1 B2 B3 B4 Modelo C C1 C2 C3 C4 C5 C6 C7 . …) conexión a Internet con wifi dispositivos móviles con datos y apps para su trabajo herramienta(s) comercial(es) de gestión de negocio (CRM y ERP) página web / tienda online y redes sociales que gestionan desde la empresa herramientas para empresas en la nube e-administración para su relación con las AAPP . Activo Aplicación ordenador(es) móvil(es) principalmente para telefonía conexión a Internet e incluso wifi ordenadores y conexión a Internet (con wifi) dispositivos móviles para telefonía y datos soluciones tecnológicas gratuitas para la gestión empresarial como correo electrónico. CRM e incluso herramientas colaborativas o de almacenamiento cloud una página web sencilla alojada y gestionada por un proveedor externo ordenadores e incluso algún servidor (web. correo electrónico. Amenaza/Activo A1 A2 Fuego Daños por agua Desastres naturales Fuga de información Introducción de falsa información Alteración de la información Corrupción de la información Destrucción de información Interceptación de información (escucha) Corte del suministro eléctrico Condiciones inadecuadas de temperatura o humedad Fallo de servicios de comunicaciones Interrupción de otros servicios y suministros esenciales Desastres industriales Degradación de los soportes de almacenamiento de la información Difusión de software dañino Errores de mantenimiento / actualización de programas (software) Errores de mantenimiento / actualización de equipos (hardware) Caída del sistema por sobrecarga Pérdida de equipos Indisponibilidad del personal Abuso de privilegios de acceso Acceso no autorizado Errores de los usuarios Errores del administrador Errores de configuración Denegación de servicio Robo Indisponibilidad del personal Extorsión Ingeniería social . A3 B1 B2 B3 B4 C1 C2 C3 . C4 C5 C6 C7 . ANÁLISIS DE RIESGOS Mostrar Activos Activo . . . . . . . . . . . . . . . . . . . . ANÁLISIS DE RIESGOS Amenaza Probabilidad Impacto Riesgo .
Copyright © 2024 DOKUMEN.SITE Inc.