\nBasado en la guía de pruebas de OWASP<\/a> (Open Web Application Security Project).<\/p>\n <\/p>\n Identificación de los riesgos<\/a><\/p>\n Factores determinantes de la probabilidad de ocurrencia<\/a><\/p>\n Factores determinantes del impacto<\/a><\/p>\n Determinar la severidad del riesgo<\/a><\/p>\n Determinar la implementación de soluciones<\/a><\/p>\n El primer paso consiste en la identificación de los riesgos potenciales identificando:<\/p>\n Los posibles agentes atacantes.<\/p>\n Naturales (inundación, fuego, etc\u2026)<\/p>\n<\/li>\n Humano sin intención (accidente, descuido, etc\u2026)<\/p>\n<\/li>\n Humano intencionado (persona interna, externa, outsourcing, etc..)<\/p>\n<\/li>\n<\/ul>\n<\/li>\n El tipo de ataque utilizado.<\/p>\n Predicción\/Deducción de credenciales\/sesión<\/p>\n<\/li>\n Intentos de acceso no autorizado<\/p>\n<\/li>\n Cross Site Scripting (XSS)<\/p>\n<\/li>\n SQL Injection<\/p>\n<\/li>\n Denegación de servicio<\/p>\n<\/li>\n Etc\u2026<\/p>\n<\/li>\n<\/ul>\n<\/li>\n El impacto en el negocio de un ataque exitoso.<\/p>\n<\/li>\n<\/ul>\n Se requiere determinar la probabilidad de que el riesgo potencial detectado sea utilizado por un atacante.\n<\/p>\n Factores de los agentes atacantes<\/p>\n Nivel técnico:<\/p>\n Sin conocimientos técnicos (0)<\/p>\n<\/li>\n Algunos conocimientos técnicos (3)<\/p>\n<\/li>\n Usuario avanzado (4)<\/p>\n<\/li>\n Conocimientos de programación y redes (6)<\/p>\n<\/li>\n Conocimientos en intrusiones de seguridad (9)<\/p>\n<\/li>\n<\/ul>\n<\/li>\n Motivación:<\/p>\n Sin motivación, no obtiene ningún beneficio (0)<\/p>\n<\/li>\n Posibilidad de extraer algún beneficio (4)<\/p>\n<\/li>\n Clara oportunidad de conseguir un beneficio (9)<\/p>\n<\/li>\n<\/ul>\n<\/li>\n Oportunidad de encontrar y explotar la vulnerabilidad:<\/p>\n Sin acceso conocido (0)<\/p>\n<\/li>\n Acceso limitado (4)<\/p>\n<\/li>\n Acceso completo (9)<\/p>\n<\/li>\n<\/ul>\n<\/li>\n Tamaño\/Tipo de atacantes<\/p>\n Desarrolladores (2)<\/p>\n<\/li>\n Administradores del sistema (2)<\/p>\n<\/li>\n Usuarios de la intranet (4)<\/p>\n<\/li>\n Partners (5)<\/p>\n<\/li>\n Usuarios autentificados (6)<\/p>\n<\/li>\n Usuarios anónimos externos (Internet) (9)<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n Factores de la vulnerabilidad\/riesgo<\/p>\n Facilidad de descubrimiento<\/p>\n Prácticamente imposible (1)<\/p>\n<\/li>\n Difícil (3)<\/p>\n<\/li>\n Fácil (7)<\/p>\n<\/li>\n Herramientas automatizadas (9)<\/p>\n<\/li>\n<\/ul>\n<\/li>\n Facilidad de explotación<\/p>\n Teórico (1)<\/p>\n<\/li>\n Difícil (3)<\/p>\n<\/li>\n Fácil (7)<\/p>\n<\/li>\n Herramientas automatizadas (9)<\/p>\n<\/li>\n<\/ul>\n<\/li>\n Conocimiento previo de la vulnerabilidad\/riesgo<\/p>\n Desconocido (1)<\/p>\n<\/li>\n Oculto (4)<\/p>\n<\/li>\n Evidente (6)<\/p>\n<\/li>\n Conocimiento público (9)<\/p>\n<\/li>\n<\/ul>\n<\/li>\n Detección de la intrusión\/explotación<\/p>\n Detección activa en la aplicación (1)<\/p>\n<\/li>\n Registrado en bitácoras (logs) y revisado (3)<\/p>\n<\/li>\n Registrado en bitácoras (logs) sin revisión (8)<\/p>\n<\/li>\n No registrado (9)<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n Un riesgo puede tener un impacto técnico (sistemas, datos almacenados, etc\u2026) y un impacto sobre el negocio (operativa, lógica de la aplicación).\n<\/p>\n Factores de impacto técnico<\/p>\n Pérdida de confidencialidad<\/p>\n Información revelada mínima y no sensible (2)<\/p>\n<\/li>\n Información revelada mínima (6)<\/p>\n<\/li>\n Importante cantidad de información no sensible revelada (6)<\/span><\/p>\n<\/li>\n Importante cantidad de información revelada (7)<\/span><\/p>\n<\/li>\n Toda la información revelada (9)<\/p>\n<\/li>\n<\/ul>\n<\/li>\n Pérdida de integridad<\/p>\n Mínima información corrompida (1)<\/p>\n<\/li>\n Mínima información importante corrompida (3)<\/p>\n<\/li>\n Gran cantidad de información corrompida (5)<\/p>\n<\/li>\n Gran cantidad de información importante corrompida (7)<\/p>\n<\/li>\n Toda la información corrompida (9)<\/p>\n<\/li>\n<\/ul>\n<\/li>\n Pérdida de disponibilidad<\/p>\n Mínima interrupción del servicio (1)<\/p>\n<\/li>\n Mínima interrupción de servicios primarios (5)<\/span><\/p>\n<\/li>\n Amplia interrupción de servicios (5)<\/p>\n<\/li>\n Amplia interrupción de servicios primarios (7)<\/p>\n<\/li>\n Todos los servicios interrumpidos (9)<\/p>\n<\/li>\n<\/ul>\n<\/li>\n Pérdida de rastro<\/p>\n Identificación completa del rastro (1)<\/p>\n<\/li>\n Posible identificación del rastro (7)<\/p>\n<\/li>\n Completamente anónimo (9)<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n Factores de impacto en el negocio<\/p>\n Repercusión financiera (cantidad de información financiera obtenida)<\/p>\n Menos que el coste de reparación de la vulnerabilidad (1)<\/span><\/p>\n<\/li>\n Pequeño efecto en los beneficios anuales (3)<\/p>\n<\/li>\n Gran efecto en los beneficios anuales (7)<\/p>\n<\/li>\n Bancarrota (9)<\/p>\n<\/li>\n<\/ul>\n<\/li>\n Repercusión reputacional<\/p>\n Daño mínimo (1)<\/p>\n<\/li>\n Pérdida de las cuentas más importantes (4)<\/p>\n<\/li>\n Perdida de valor (5)<\/p>\n<\/li>\n Daño a la marca (9)<\/p>\n<\/li>\n<\/ul>\n<\/li>\n Violación de la privacidad (cantidad de personas afectadas)<\/p>\n Un individuo (3)<\/p>\n<\/li>\n Cientos de personas (5)<\/p>\n<\/li>\n Miles de personas (7)<\/p>\n<\/li>\n Millones de personas (9)<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n A partir de la valoración de los factores anteriores, se realiza una media matemática con la valoración de cada uno de los puntos considerados (podría realizarse una media ponderada para ajustar los resultados al negocio analizado), obteniendo una cifra para cada uno de los grupos:<\/p>\n Probabilidad de ocurrencia<\/p>\n<\/li>\n Impacto<\/p>\n<\/li>\n<\/ul>\n Esta cifra clasificará los dos elementos anteriores en Alto, Medio o Bajo, según la siguiente tabla:<\/p>\n \n<\/p>\n A continuación se determinará la severidad del riesgo según la siguiente tabla:<\/p>\n \n<\/p>\n Obteniendo finalmente una valoración de la severidad del riesgo:<\/p>\n Severidad crítica<\/p>\n<\/li>\n Severidad alta<\/p>\n<\/li>\n Severidad media<\/p>\n<\/li>\n Severidad baja<\/p>\n<\/li>\n Severidad mínima<\/p>\n<\/li>\n<\/ul>\n Dependiendo de la valoración obtenida de cada uno de los riesgos potenciales, será posible:<\/p>\n Establecer prioridades para los diferentes riesgos<\/p>\n<\/li>\n Determinar si el coste de solución es superior a la severidad del riesgo<\/p>\n<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":" Metodología de evaluación del riesgo para facilitar la asignación de prioridades a los aspectos detectados. Se considerará que un riesgo esta compuesto por la probabilidad de que ocurra y el impacto que este genera (Riesgo = Probabilidad * Impacto). Art\u00edculo relacionado: Detecci\u00f3n de riesgos y vulnerabilidades tecnol\u00f3gicas Basado en la guía de pruebas de OWASP … Continue reading Valoraci\u00f3n de riesgos tecnol\u00f3gicos<\/span> \u00cdndice<\/h3>\n
<\/a>
\nIdentificación de los riesgos<\/h3>\n\n
\n
\n
<\/a>
\nFactores determinantes de la probabilidad de ocurrencia<\/h3>\n\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
<\/a>
\nFactores determinantes del impacto<\/h3>\n\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
<\/a>
\nDeterminar la severidad del riesgo<\/h3>\n\n
\n![](\"http:\/\/farm1.static.flickr.com\/156\/390457581_8bdc6a77d1_o.png\"\/)
\n<\/center><\/p>\n
\n![](\"http:\/\/farm1.static.flickr.com\/134\/390457582_f8041a131b_o.png\"\/)
\n<\/center><\/p>\n\n
<\/a>
\nDeterminar la implementación de soluciones<\/h3>\n\n