Perfilado de Activos de Información

Una de las dificultades inherentes a las metodologías de Seguridad de la Información viene determinada por la naturaleza intangible y por la ubicuidad de los activos de información. La mayor parte de las metodologías establece como punto de partida para el análisis de riesgos la elaboración de un inventario de los activos de información, como […]

Estimación de la probabilidad de infección por virus informáticos: Una aplicación de las redes Bayesianas (parte 2)

En este artículo vamos a poner a prueba el modelo de red de creencias Bayesiano que desarrollamos en la anterior entrega. El objetivo del modelo es estimar la probabilidad de que un equipo de usuario corporativo resulte infectado por un programa malicioso. El modelo (que es tan sólo un borrador inicial) ha sido desarrollado con […]

Infección por virus informáticos: Una aplicación de las redes Bayesianas (parte 1)

Este es el primero de una serie de 2 artículos en los que vamos a desarrollar un modelo basado en redes Bayesianas con el que intentaremos estimar la pobabilidad de que un equipo de usuario resulte infectado por un programa malicioso. En un artículo anterior ya introdujimos este concepto y vimos algún ejemplo. ¿Qué es […]

Métodos cuantitativos y análisis del riesgo tecnológico

El análisis y gestión de riesgos en el ámbito de la tecnología es considerado por muchos profesionales casi como un arte. Comparto en gran medida esta opinión. En este campo, las dificultades para disponer de series de datos históricas hacen que el uso de modelos estadísticos predictivos, con larga tradición en otros dominios de riesgo, sea […]

Cálculo de pérdidas estimadas por riesgo operacional en las entidades financieras

La regulación bancaria de Basilea II establece para las entidades financieras la necesidad de hacer reservas de  capital para cubrirse frente a las posibles pérdidas por riesgo de mercado, riesgo de crédito y, además, para las originadas por riesgo operacional. El foco de este artículo es describir algunos aspectos esenciales de la gestión del riesgo […]

Priorización de vulnerabilidades técnicas con CVSS 2.0

Uno de los procesos básicos de seguridad en cualquier empresa moderna es la identificación y gestión de las vulnerabilidades de seguridad de los elementos de su plataforma tecnológica.  El mantenimiento actualizado de los parches de seguridad de las aplicaciones, bases de datos, sistemas operativos, etc… reduce en cierta medida las posibilidades de que nuestros sistemas […]