Your SlideShare is downloading. ×
Análisis y Evaluación de Riesgos
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Análisis y Evaluación de Riesgos

270
views

Published on

Presentación para la clase de Seguridad de Sistemas y Redes.

Presentación para la clase de Seguridad de Sistemas y Redes.

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
270
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Seguridad de Sistemas y Redes Universidad Centroamericana
  • 2. Definición de riesgo Gestión de riesgos
  • 3.  riesgo. (Del it. risico o rischio, y este del ár. clás. rizq, lo que depara la providencia).  1. m. Contingencia o proximidad de un daño.  2. m. Cada una de las contingencias que pueden ser objeto de un contrato de seguro. a ~ y ventura.  1. loc. adv. Dicho de acometer una empresa o de celebrar un contrato: Sometiéndose a influjo de suerte o evento, sin poder reclamar por la acción de estos. correr ~ algo.  1. loc. verb. Estar expuesto a perderse o a no verificarse.
  • 4.  En informática…  Es la exposición de información privada provocada por la mala configuración, mal o funcionamiento de un software o hardware, también por la falta de políticas o normas para el uso de la información.
  • 5. Si cumplimos lo anterior… ¿estaremos en riesgo de pérdida o filtración de información?
  • 6. Aunque tenga las mejores políticas y tecnología los riesgos siempre existirán. “Hombre o Mujer prevenida… vale por dos”  La meta a perseguir en seguridad informática es "lo que no está permitido debe estar prohibido"
  • 7.  Los riesgos deben gestionarse bajo todo un proceso.  Según definición de (Areitio Bertolín, 2008) el proceso de gestión de riesgos identifica y prioriza los peligros inherentes al desarrollo de un producto, sistema u organización.
  • 8.  “La gestión de riesgos… se define como el proceso que se encarga de identificar y cuantificar la probabilidad de que se produzcan amenazas y de establecer un nivel aceptable de riesgo para la organización.” (Areitio Bertolín, 2008, pág. 7)
  • 9.  Continua diciendo (Areitio Bertolín, 2008):  La valoración de riesgos es el proceso consistente en identificar los problemas antes que aparezcan.  En la gestión de riesgos, existe un factor incertidumbre asociado con la probabilidad de que aparezcan amenazas, que es diferente, dependiendo de cada situación.
  • 10.  Un incidente no deseado presenta tres componentes: amenaza, vulnerabilidad e impacto.  Los riesgos se atenúan con la implantación de salvaguardas, conocidas también como medidas, controles o contramedida. Estas pueden actuar contra la amenaza, vulnerabilidad, impacto o el propio riesgo.
  • 11. Definición Razones para realizarlo
  • 12.  Para tratar de minimizar los efectos de un problema de seguridad, se realiza el denominado análisis de riesgo.  Es el proceso necesario para responder a tres cuestiones básicas:  ¿Qué queremos proteger?  ¿Contra quién o qué se quiere proteger?  ¿Cómo lo vamos hacer?
  • 13.  Es un proceso consistente en identificar los peligros que afectan a la seguridad, determinar su magnitud e identificar las áreas que necesitan salvaguardas.  La valoración de riesgos es el resultado del proceso del análisis de riesgo.
  • 14.  El análisis de riesgo se aplica de forma continua. Es una técnica que permite:  Identificar los activos y controles de seguridad.  Gestionar las alertas de los riesgos próximos.  Identificar la necesidad de acciones correctivas.  Proporcionar una guía de cara a los gastos de los recursos.  Relacionar el programa de control con la misión de la organización.
  • 15.  El análisis de riesgo se aplica de forma continua. Es una técnica que permite:  Proporcionar criterios para diseñar y evaluar planes de contingencia y de continuidad de negocios.  Mejorar la concienciación global sobre la seguridad a todos los niveles.
  • 16.  Un agente de amenaza es el método utilizado para explotar vulnerabilidades de un sistema, operación, instalación o servicio.  Las funciones de salvaguarda se materializan en mecanismo de salvaguarda, que son procedimientos o dispositivos físicos o lógicos que reducen el riesgo, en funciones preventivas y curativas.
  • 17.  Para cada mecanismo de salvaguarda, se toma en consideración en qué medida se cumplimenta esta función y el grado de implantación, a esto se le llama efectividad.  La gestión de riesgo es el proceso total de identificar, controlar, eliminar o minimizar los eventos inciertos que puedan afectar.
  • 18.  En la práctica existen dos enfoques básicos a la hora de realizar un completo análisis de riesgo: uno cuantitativo y otro cualitativo.
  • 19.  El enfoque cualitativo es de uso muy común en la actualidad, especialmente entre las nuevas empresas consultoras de seguridad.  Es más sencillo e intuitivo que el cuantitativo, ya que entran en juego la estimación de pérdidas potenciales y no las probabilidades exactas.
  • 20.  El enfoque cuantitativo es el menos utilizado, en muchos casos implica cálculos complejos o datos difíciles de estimar.  Se basa en dos parámetros fundamentales: la probabilidad de que se produzca un suceso y la estimación del coste o pérdidas.  A pesar de los inconvenientes hay empresas que han adoptado éxito utilizando este tipo de análisis.
  • 21.  Areitio Bertolín, J. (2008). Seguridad de la Información. Madrid: Paraninfo.
  • 22. Gracias por su atención.