Anàlisi de riscos

Triada CID #

Els objectius de la ciberseguretat es garantir la confidencialitat, la integritat i la disponibilitat

Confidencialitat #

  • Només les persones autoritzades poden accedir a la informació

Integritat #

  • La informació no pot ser modificada sense autorització

Disponibilitat #

  • L'accés a la informació ha d'estar garantit sempre que sigui necessari

Anàlisi de riscos #

  • Es necessari fer un anàlisi de riscos per a garantir per a cada actiu la triada CID
  • Com això no es possible s'han de prioritzar l'ús que es fa dels recursos i prioritzar quines salvaguardes i mesures es fan servir per protegirnos de les amenaces i en quins actius

Conceptes #

Actiu #

  • Qualsevol element necessari per a la realització dels processos de negoci.

Amenaça #

  • Qualsevol cosa que pot succeir i que, quan ocorre, té conseqüències negatives sobre el valor dels nostres actius (robatoris, atacs DoS, fallada infraestructures..).

Salvaguardes #

  • Són mitjans o mesures per lluitar contra les amenaces. Poden tractar aspectes organitzatius, tècnics, físics o relatius a la gestió de personal.

Impacte #

  • indicador que mesura del dany causat per una amenaça quan es materialitza sobre un actiu.

Risc #

  • possibilitat de pèrdua de la integritat d’un actiu com a resultat de la materialització d’una amenaça explotant una vulnerabilitat

Vulnerabilitat #

  • Debilitat en un software/ configuració que posa en risc la seguretat de la informació permetent a un possible atacant comprometre la integritat, disponibilitat o confidencialitat
  • Una vulnerabilitat implica un risc

Recordes ISO/IEC 27002: codi internacional de bones pràctiques de seguretat de la informació? Recordatori M11

Procés d'anàlisi de riscos i amenaces #

  1. Identificar actius a protegir
  2. Evaluar
    • riscos
    • impacte
    • probabilitat
  3. Prendre decisió sobre que fer amb els riscos
    • Evitar-los
    • Controlar-los
    • Assumir-los
    • Transferir-los

Mesures protectores #

  • Les mesures protectores poden classificar-se en les que persegueixen evitar les amenaces i les que serveixen per minimitzar l'impacte

  • Les tècniques més comuns es basen generalment en:

    • Copies de seguretat
    • Replicació
    • Redundància i alta disponibilitat
    • Encriptació
    • Control d'accés
    • Monitorització d'actius
    • Monitorització d'amenaces