SlideShare a Scribd company logo

Establecimiento de niveles de riesgo de las politicas de seguridad

Download as PPTX, PDF
YESENIA CETINA
YESENIA CETINA

Aquí se describe el establecimiento de niveles de riesgo de las políticas de seguridad

Technology
1 of 67
Establecimiento de niveles de riesgo de los recursos involucrados.
Introducción Al crear una política de seguridad de red, es importante entender que la razón para crear tal política es, en primer lugar, asegurar que los esfuerzos invertidos en la seguridad son costeables. ● ¿Cuáles recursos de la red vale la pena proteger? ● ¿Cuál es la fuente de amenaza?
El análisis de riesgos implica determinar lo siguiente:  Qué se necesita proteger  De quién protegerlo  ·Cómo protegerlo
● Los riesgos se clasifican por el nivel de importancia y por la severidad de la pérdida. ● No se debe llegar a una situación donde se gasta más para proteger aquello que es menos valioso.
● En el análisis de los riesgos, es necesario determinar los siguientes factores: ● Estimación del riesgo de pérdida del recurso (lo llamaremos Ri). ● Estimación de la importancia del recurso (lo llamaremos Wi).
 Asignar un valor numérico. Por ejemplo, al riesgo (Ri) de perder un recurso, se le asigna un valor de cero a diez, donde cero, significa que no hay riesgo y diez es el riesgo más alto.  De manera similar, a la importancia de un recurso (Wi) también se le puede asignar un valor de cero a diez, donde cero significa que no tiene importancia y diez es la importancia más alta.  La evaluación general del riesgo será entonces el producto del valor del riesgo y su importancia (también llamado el peso). Esto puede escribirse como: WRi = Ri *Wi
Donde:  WRi : es el peso del riesgo del recurso “i” (también lo podemos llamar ponderación)  Ri : es el riesgo del recurso “i”  Wi : es la importancia del recurso “i”
Ejemplo práctico  Los administradores de la red y de sistemas han producido las estimaciones siguientes para el riesgo y la importancia de cada uno de los dispositivos que forman nuestra red:  Como se ve, a cada uno de los componentes del sistemas, se le ha asignado un cierto riesgo y una cierta importancia. Hay que destacar que estos valores son totalmente subjetivos, dependen exclusivamente de quien ó quienes están realizando la evaluación.
 Tenemos, entonces: Router:  R1 = 6  W1 = 7 Bridge:  R2 = 6  W2 = 3 Servidor:  R3 = 10  W3 = 10
 El cálculo de los riesgos evaluados, será, para cada dispositivo: Router:  WR1 = R1 * W1 = 6 * 7 = 42 Bridge:  WR2 = R2 * W2 = 6 * 3 = 18 Servidor:  WR3 = R3 * W3 = 10 * 10 = 100
 La tabla que sigue a continuación, nos muestra cómo podríamos llevar a cabo esta tarea de una manera ordenada y los valores que contiene son los que hemos tratado:
 Vemos que, en este caso, el recurso que debemos proteger más es el Servidor ya que su riesgo ponderado es muy alto. Por tanto, comenzaremos por buscar las probables causas que pueden provocar problemas con los servicios brindados por él.
 Hay que tener muy en cuenta que, al realizar el análisis de riesgo, se deben identificar todos los recursos (por más triviales que parezcan) cuya seguridad está en riesgo de ser quebrantada.
 Ahora bien, ¿cuáles son los recursos? Los recursos que deben ser considerados al estimar las amenazas a la seguridad son solamente seis:  Hardware: procesadores, tarjetas, teclados, terminales, estaciones de trabajo, computadoras personales, impresoras, unidades de disco, líneas de comunicación, cableado de la red, servidores de terminal, routers, bridges.
 Software: programas fuente, programas objeto, utilerías, programas de diagnóstico, sistemas operativos, programas de comunicaciones.  Datos: durante la ejecución, almacenados en línea, archivados fuera de línea, back-up, bases de datos, en tránsito sobre medios de comunicación.  Gente: usuarios, personas para operar los sistemas.  Documentación: sobre programas, hardware, sistemas, procedimientos administrativos locales.  Accesorios: papel, formularios, cintas, información grabada.
 La pregunta que cabe formular, luego de haber hecho el trabajo anterior, es cómo protegemos ahora nuestros recursos. Tal vez, ésta sea la pregunta más difícil de responder, pues, según el recurso del que se trate, será el modo de protegerlo.
 Primero, deberemos tener en cuenta qué es lo queremos proteger. Si se trata de los problemas ocasionados por el personal propio o de intromisiones clandestinas que puedan afectar la operatoria de la organización.
 Hay que tener en cuenta, que todos los estudios realizados demuestran que el 80% de los problemas proceden de los llamados “clientes internos” de la organización (los empleados o elementos que se desempeñan en la organización), y sólo el 20 % restante, proviene de elementos externos a la organización.
 Una aproximación acerca de cómo proteger los recursos de los problemas originados por el cliente interno consiste en la identificación del uso correcto de los mismos por parte de éstos.
 Pero primero, deberemos saber quiénes son los que van a hacer uso de los recursos. Es decir se debe contar, previamente, con un conocimiento cabal de todos los usuarios que tenemos en el sistema. Esta lista no es obligatoriamente individual, sino que puede ser, en efecto, una lista por grupos de usuarios y sus necesidades en el sistema. Esta es, con seguridad, la práctica más extendida pues, definida la necesidad de un grupo de usuarios, lo más efectivo es englobarlos a todos en un mismo grupo.
 Una vez identificados los usuarios (o grupos de usuarios), se puede realizar la determinación de los recursos de que harán uso y de los permisos que tendrán. Esto es sencillo de realizar con una tabla como la siguiente:
 Este modelo, nos permitirá disponer para cada usuario (o grupos de usuarios), la información de qué se les está permitido hacer y qué no.  El otro problema que nos presenta, es el de las intromisiones clandestinas.  Aquí, es preciso tener en cuenta el tipo de recurso a proteger. En base a ello, estará dada la política de seguridad.
 Daremos, a continuación, algunos ejemplos acerca de a qué nos estamos enfrentando:  ¿Cómo aseguramos que no están ingresando a nuestro sistema por un puerto desprotegido o mal configurado?  ¿Cómo nos aseguramos de que no se estén usando programas propios del sistema operativo o aplicaciones para ingresar al sistema en forma clandestina?  ¿Cómo aseguramos de que, ante un corte de energía eléctrica, el sistema seguirá funcionando?
 ¿Cómo nos aseguramos de que los medios de transmisión de información no son susceptibles de ser monitoreados?  ¿Cómo actúa la organización frente al alejamiento de uno de sus integrantes?
 La respuesta a estos interrogantes reside en la posibilidad de conseguir dicha seguridad por medio de herramientas de control y seguimiento de accesos, utilizando check-lists para comprobar puntos importantes en la configuración y/o funcionamiento de los sistemas y por medio de procedimientos que hacen frente a las distintas situaciones.
 Es muy aconsejable que se disponga de una agenda con las tareas que se deben llevar a cabo regularmente, a fin de que el seguimiento de los datos obtenidos sea efectivo y se puedan realizar comparaciones válidas al contar con datos secuenciales. Esta agenda, podría ser en sí misma un procedimiento
 Damos, a continuación, un ejemplo de procedimiento de chequeo de eventos en el sistema: Diariamente:  Extraer un logístico sobre el volumen de correo transportado. Extraer un logístico sobre las conexiones de red levantadas en las últimas 24 horas.
Semanalmente:  Extraer un logístico sobre los ingresos desde el exterior a la red interna.  Extraer un logístico con las conexiones externas realizadas desde nuestra red.  Obtener un logístico sobre los downloads de archivos realizados y quién los realizó.  Obtener gráficos sobre tráfico en la red.  Obtener logísticos sobre conexiones realizadas en horarios no normales (desde dónde, a qué hora y con qué destino).
Mensualmente:  Realizar un seguimiento de todos los archivos logísticos a fin de detectar cambios (realizados con los archivos de back-up del mes anterior).
 Cabría resaltar que, en gran parte, este procedimiento puede ser automatizado por medio de programas que realicen las tareas y sólo informen de las desviaciones con respecto a las reglas dadas.
Acerca de los procedimientos  Si se piensa certificar ISO, es indispensable tener un manual de procedimientos escrito y llevarlo a cabo al pie de la letra. De esta manera, cabría pensar que un manual de procedimientos es un paso adelante para poder llegar a la certificación ISO.
Procedimiento de alta de cuenta de usuario Cuando un elemento de la organización requiere una cuenta de operación en el sistema, debe llenar un formulario que contenga, al menos los siguientes datos:  Nombre y Apellido  Puesto de trabajo  Jefe inmediato superior que avale el pedido  Descripción de los trabajos que debe realizar en el sistema  Consentimiento de que sus actividades son susceptibles de ser auditadas en cualquier momento y de que conoce las normas de “buen uso de los recursos” (para lo cual, se le debe dar una copia de tales normas).  Explicaciones breves, pero claras de cómo elegir su password.
Procedimiento de alta de cuenta de usuario Asimismo, este formulario debe tener otros elementos que conciernen a la parte de ejecución del área encargada de dar de alta la cuenta, datos como:  Tipo de cuenta  Fecha de caducidad  Fecha de expiración  Datos referentes a los permisos de acceso (por ejemplo, tipos de permisos a los diferentes directorios y/o archivos)  Si tiene o no restricciones horarias para el uso de algunos recursos y/o para el ingreso al sistema.
Procedimiento de baja de cuenta de usuario  Este procedimiento es el que se lleva a cabo cuando se aleja un elemento de la organización o cuando alguien deja de trabajar por un determinado tiempo (licencia sin goce de sueldo, vacaciones, viajes prolongados, etc.). En base a la explicación anterior hay, entonces, dos tipos de alejamientos: permanente y parcial.
 Aquí, es necesario definir un circuito administrativo a seguir, y que como todos los componentes de la política de seguridad, debe estar fuertemente apoyado por la parte gerencial de la organización.
 Un ejemplo de este circuito, podría ser: ante el alejamiento de un elemento de la organización, la gerencia de personal (o la sección encargada de la administración de los RRHH), debe informar en un formulario de “Alejamiento de personal”, todos los datos del individuo que ha dejado la organización, así como de la posición que éste ocupaba y el tipo de alejamiento (permanente o no).  Una vez llegada la información al departamento encargado de la administración de sistemas, se utiliza para dar de baja o inhabilitar la cuenta del usuario
 La definición de si se da de baja o se inhabilita es algo importante pues, si se da de baja, se deberían guardar y eliminar los archivos y directorios del usuario, mientras que si sólo se inhabilita, no pasa de esa acción.  Si el alejamiento del individuo no era permanente, al volver a la organización, la sección que había informado anteriormente de la ausencia, debe comunicar su regreso, por medio de un formulario dando cuenta de tal hecho para volver a habilitar la cuenta al individuo.
Procedimiento para determinar las buenas passwords  Aunque no lo parezca, la verificación de palabras claves efectivas no es algo frecuente en casi ninguna organización. El procedimiento debe explicar las normas para elegir una password:
Procedimiento para determinar las buenas passwords Se debe explicitar  La cantidad de caracteres mínimo que debe tener  No tiene que tener relación directa con las características del usuario.  Debe constar de caracteres alfanuméricos, mayúsculas, minúsculas, números y símbolos de puntuación.  Determinar, si es posible, el seguimiento de las palabras claves (llevar registros de las palabras claves anteriores elegidas por el usuario).
Procedimiento para determinar las buenas passwords  Una vez que el usuario ha elegido su password, se le debe correr un “programa crackeador” para tener idea de cuán segura es, en base al tiempo que tarda en romper la palabra.
Procedimientos de verificación de accesos  Debe explicar la forma de realizar las auditorías de los archivos logísticos de ingresos a fin de detectar actividades anómalas. También debe detectar el tiempo entre la auditoría y cómo actuar en caso de detectar desviaciones.
Procedimientos de verificación de accesos  Normalmente, este trabajo es realizado por programas a los que se les dan normativas de qué y cómo comparar. Escanean archivos de “log” con diferentes fechas tomando en cuenta las reglas que se le han dado. Ante la detección de un desvío, generan reportes informando el mismo.
Procedimientos de verificación de accesos  En el procedimiento debe quedar perfectamente indicado quién es el responsable del mantenimiento de estos programas y cómo se actúa cuando se generan alarmas
Procedimiento para el chequeo del tráfico de la red  Permite conocer el comportamiento del tráfico en la red, al detectar variaciones que pueden ser síntoma de mal uso de la misma.  El procedimiento debe indicar el/los programas que se ejecuten, con qué intervalos, con qué reglas de trabajo, quién se encarga de procesar y/o monitorear los datos generados por ellos y cómo se actúa en consecuencia.
Procedimiento para el monitoreo de los volúmenes de correo  permite conocer los volúmenes del tráfico de correo o la cantidad de “mails” en tránsito. Dicho procedimiento se encuentra realizado por programas que llevan las estadísticas, generando reportes con la información pedida. El conocimiento de esta información permite conocer, entre otras cosas, el uso de los medios de comunicación, y si el servidor está siendo objeto de un “spam”.
Procedimiento para el monitoreo de los volúmenes de correo  Como en los casos anteriores, en el procedimiento debe estar explicitado quién es el encargado del mantenimiento y del análisis de los datos generados, y qué hacer cuando se detectan variaciones.
Procedimientos para el monitoreo de conexiones activas  Este procedimiento se efectúa con el objeto de prevenir que algún usuario deje su terminal abierta y sea posible que alguien use su cuenta. El procedimiento es ejecutado por medio de programas que monitorean la actividad de las conexiones de usuarios.  Cuando detecta que una terminal tiene cierto tiempo inactiva, cierra la conexión y genera un log con el acontecimiento.
Procedimiento de modificación de archivos  Este procedimiento sirve para detectar la modificación no autorizada y la integridad de los archivos y, en muchos casos, permite la traza de las modificaciones realizadas.  Al igual que en los casos anteriores, debe estar bien determinada la responsabilidad de quién es el encargado del seguimiento y de actuar en caso de alarmas.
Procedimientos para el resguardo de copias de seguridad  Debe indicar claramente dónde se deben guardar las copias de seguridad y los pasos a seguir en caso de problemas. Para lograr esto, deben estar identificados los roles de las personas que interactúan con el área, a fin de que cada uno sepa qué hacer ante la aparición de problemas
Procedimientos para la verificación de las máquinas de los usuarios  Este procedimiento permitirá encontrar programas que no deberían estar en las máquinas de los usuarios y que, por su carácter, pueden traer problemas de licencias y fuente potencial de virus. El procedimiento debe explicitar los métodos que se van a utilizar para la verificación, las acciones ante los desvíos y quién/quiénes lo llevarán a cabo.
Procedimientos para el monitoreo de los puertos en la red  Este procedimiento permite saber qué puertos están habilitados en la red, y, en algunos casos, chequear la seguridad de los mismos. El procedimiento deberá describir qué programas se deben ejecutar, con qué reglas, quién estará a cargo de llevarlo a cabo y qué hacer ante las desviaciones detectadas.
Procedimientos de cómo dar a publicidad las nuevas normas de seguridad  Este tipo de procedimiento no siempre es tenido en cuenta. Sin embargo, en una organización es muy importante conocer las últimas modificaciones realizadas a los procedimientos, de tal manera que nadie pueda poner cómo excusa “que no conocía las modificaciones”.
Procedimientos de cómo dar a publicidad las nuevas normas de seguridad  Es fundamental tener en cuenta este último punto ya que un porcentaje de los problemas de seguridad, según está demostrado en estudios de mercado, proviene del desconocimiento de las normas y/o modificaciones a ellas por parte de los usuarios.
Procedimientos para la determinación de identificación de usuario y grupo de pertenencia por defecto  Determina la forma de establecer las identificaciones y los grupos a los que pertenecerán los usuarios por defecto en el momento de darlos de alta. En él deben explicarse, concisamente, los pasos a seguir para cambiar los derechos y las identificaciones de los usuarios dados de alta y la manera de documentar los mismos, así también como quién será responsable de la tarea.
Procedimientos para recuperar información  Sirve para reconstruir todo el sistema o parte de él, a partir de las copias de seguridad. En él, deben explicarse todos los pasos a seguir para rearmar el sistema a partir de los back-up existentes, así como cada cuánto tiempo habría que llevarlos a cabo y quiénes son los responsables de dicha tarea
Check-Lists  Las check-lists, como su nombre lo indica, son listas con un conjunto de ítems referentes a lo que habría que chequear en el funcionamiento del sistema.  Algunos ejemplos de check-lists:
Check-Lists  Asegurar el entorno. ¿Qué es necesario proteger? ¿Cuáles son los riesgos?  Determinar prioridades para la seguridad y el uso de los recursos.  Crear planes avanzados sobre qué hacer en una emergencia.
Check-Lists  Trabajar para educar a los usuarios del sistema sobre las necesidades y las ventajas de la buena seguridad  Estar atentos a los incidentes inusuales y comportamientos extraños.  Asegurarse de que cada persona utilice su propia cuenta.
Check-Lists  ¿Están las copias de seguridad bien resguardadas?  No almacenar las copias de seguridad en el mismo sitio donde se las realiza  ¿Los permisos básicos son de sólo lectura?  Si se realizan copias de seguridad de directorios/archivos críticos, usar chequeo de comparación para detectar modificaciones no autorizadas.
Check-Lists  Periódicamente rever todo los archivos de “booteo de los sistemas y los archivos de configuración para detectar modificaciones y/o cambios en ellos.  Tener sensores de humo y fuego en el cuarto de computadoras.  Tener medios de extinción de fuego adecuados en el cuarto de computadoras.
Check-Lists  Entrenar a los usuarios sobre qué hacer cuando se disparan las alarmas.  Instalar y limpiar regularmente filtros de aire en el cuarto de computadoras.  Instalar UPS, filtros de línea, protectores gaseosos al menos en el cuarto de computadoras.  Tener planes de recuperación de desastres.
Check-Lists  Considerar usar fibras ópticas como medio de transporte de información en la red.  Nunca usar teclas de función programables en una terminal para almacenar información de login o password.  Considerar realizar autolog de cuentas de usuario.  Concientizar a los usuarios de pulsar la tecla ESCAPE antes de ingresar su login y su password, a fin de prevenir los “Caballos de Troya”.
Check-Lists  Considerar la generación automática de password.  Asegurarse de que cada cuenta tenga un password.  No crear cuentas por defecto o “guest” para alguien que está temporariamente en la organización.
Check-Lists  No permitir que una sola cuenta esté compartida por un grupo de gente.  Deshabilitar las cuentas de personas que se encuentren fuera de la organización por largo tiempo.  Deshabilitar las cuentas “dormidas” por mucho tiempo.
Check-Lists  Deshabilitar o resguardar físicamente las bocas de conexión de red no usadas.  Limitar el acceso físico a cables de red, routers, bocas, repetidores y terminadores.  Los usuarios deben tener diferentes passwords sobre diferentes segmentos de la red.  Monitorear regularmente la actividad sobre los gateways.
Actividad en equipo  Realizar un check lists por cada procedimiento mencionado.  Visitar a una empresa que cuente con un sistema de red  Verificar si cumple o no con lo planteado  Realizar un informe en un archivo de Word  Subirlo al grupo en trabajos en equipo  1 integrante lo va a subir solamente

Recommended

Niveles de riesgo, narcisa
Niveles de riesgo, narcisaNiveles de riesgo, narcisa
Niveles de riesgo, narcisanino1527
 
Gestion de la Seguridad y Riesgo en Pymes
Gestion de la Seguridad y Riesgo en PymesGestion de la Seguridad y Riesgo en Pymes
Gestion de la Seguridad y Riesgo en PymesRaul Wexler
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEYairTobon
 
Cap3
Cap3Cap3
Cap3hmitre17
 
redes y seguridad Evidencias 3
redes y seguridad Evidencias 3redes y seguridad Evidencias 3
redes y seguridad Evidencias 3Carlos Andres Perez Cabrales
 
Seguridad informatica avanzada s13
Seguridad informatica avanzada s13Seguridad informatica avanzada s13
Seguridad informatica avanzada s13Maestros Online
 
Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012Maestros Online
 
Preguntas de riesgos financieros y economicos
Preguntas de riesgos financieros y economicosPreguntas de riesgos financieros y economicos
Preguntas de riesgos financieros y economicosSOL SALDAÑA
 

Recommended

Niveles de riesgo, narcisa
Niveles de riesgo, narcisaNiveles de riesgo, narcisa
Niveles de riesgo, narcisanino1527
 
Gestion de la Seguridad y Riesgo en Pymes
Gestion de la Seguridad y Riesgo en PymesGestion de la Seguridad y Riesgo en Pymes
Gestion de la Seguridad y Riesgo en PymesRaul Wexler
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEYairTobon
 
Cap3
Cap3Cap3
Cap3hmitre17
 
redes y seguridad Evidencias 3
redes y seguridad Evidencias 3redes y seguridad Evidencias 3
redes y seguridad Evidencias 3Carlos Andres Perez Cabrales
 
Seguridad informatica avanzada s13
Seguridad informatica avanzada s13Seguridad informatica avanzada s13
Seguridad informatica avanzada s13Maestros Online
 
Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012Seguridad informatica avanzada 2012
Seguridad informatica avanzada 2012Maestros Online
 
Preguntas de riesgos financieros y economicos
Preguntas de riesgos financieros y economicosPreguntas de riesgos financieros y economicos
Preguntas de riesgos financieros y economicosSOL SALDAÑA
 
Factores Sociales Y Culturales De Situaciones De Riesgo
Factores Sociales Y Culturales De Situaciones De RiesgoFactores Sociales Y Culturales De Situaciones De Riesgo
Factores Sociales Y Culturales De Situaciones De RiesgoBRNAIS
 
los factores sociales y culturales que porvocan situaciones de riesgo para lo...
los factores sociales y culturales que porvocan situaciones de riesgo para lo...los factores sociales y culturales que porvocan situaciones de riesgo para lo...
los factores sociales y culturales que porvocan situaciones de riesgo para lo...Akebet Negusse
 
Prevencion de riesgo publico
Prevencion de riesgo publicoPrevencion de riesgo publico
Prevencion de riesgo publicoreydor30
 
Los riesgos laborales
Los riesgos laboralesLos riesgos laborales
Los riesgos laboralesJosé Luis
 
Riesgo publico
Riesgo publicoRiesgo publico
Riesgo publicoClaudia Ximena Ochoa Guerrero
 
Factores Sociales Y Culturales
Factores Sociales Y CulturalesFactores Sociales Y Culturales
Factores Sociales Y CulturalesGabriela Ramírez
 
Tipos de riesgo y su prevencion
Tipos de riesgo y su prevencionTipos de riesgo y su prevencion
Tipos de riesgo y su prevencionSamanthaGaibor
 
3.clasificacion y subclasificacion de factores de riesgo
3.clasificacion y subclasificacion de factores de riesgo3.clasificacion y subclasificacion de factores de riesgo
3.clasificacion y subclasificacion de factores de riesgoDiana Janeth Giraldo Echavarría
 
PROBIEREN SIE MAL YP-T10!
PROBIEREN SIE MAL YP-T10!PROBIEREN SIE MAL YP-T10!
PROBIEREN SIE MAL YP-T10!damai789
 
Tekuidamos 2.0
Tekuidamos 2.0 Tekuidamos 2.0
Tekuidamos 2.0 Olga Navarro
 
Les crêpes
Les crêpesLes crêpes
Les crêpeskatie inglis
 
nexxter eGame Avertising
nexxter eGame Avertisingnexxter eGame Avertising
nexxter eGame Avertisingnexxter
 
Portail des PME 2011
Portail des PME 2011Portail des PME 2011
Portail des PME 2011Portail des PME
 
Neo Technology
Neo TechnologyNeo Technology
Neo TechnologyDealmaker Media
 
EMPRENDEDOR POR JOSE DE JESUS OLVERA
EMPRENDEDOR POR JOSE DE JESUS OLVERAEMPRENDEDOR POR JOSE DE JESUS OLVERA
EMPRENDEDOR POR JOSE DE JESUS OLVERAJOSE DE JESUS OLVERA
 
Marchicamed
MarchicamedMarchicamed
MarchicamedTwilight Eagle
 
Mc cuisine 1 que pour les yeux !
Mc cuisine 1 que pour les yeux !Mc cuisine 1 que pour les yeux !
Mc cuisine 1 que pour les yeux !Marisagg
 
Energiewende: Strommarktdesign (oder: Leistung muss sich wieder lohnen …)
Energiewende: Strommarktdesign (oder: Leistung muss sich wieder lohnen …)Energiewende: Strommarktdesign (oder: Leistung muss sich wieder lohnen …)
Energiewende: Strommarktdesign (oder: Leistung muss sich wieder lohnen …)Oeko-Institut
 
Presentation Russie_Cadénac_déc. 2010
Presentation Russie_Cadénac_déc. 2010Presentation Russie_Cadénac_déc. 2010
Presentation Russie_Cadénac_déc. 2010Jean-Paul Chéno
 
Projet carrière de informatique
Projet carrière de informatiqueProjet carrière de informatique
Projet carrière de informatiquejebo1411
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPablo
 
Análisis y Gestión de Riesgos
Análisis y Gestión de RiesgosAnálisis y Gestión de Riesgos
Análisis y Gestión de RiesgosTensor
 

More Related Content

Viewers also liked

Factores Sociales Y Culturales De Situaciones De Riesgo
Factores Sociales Y Culturales De Situaciones De RiesgoFactores Sociales Y Culturales De Situaciones De Riesgo
Factores Sociales Y Culturales De Situaciones De RiesgoBRNAIS
 
los factores sociales y culturales que porvocan situaciones de riesgo para lo...
los factores sociales y culturales que porvocan situaciones de riesgo para lo...los factores sociales y culturales que porvocan situaciones de riesgo para lo...
los factores sociales y culturales que porvocan situaciones de riesgo para lo...Akebet Negusse
 
Prevencion de riesgo publico
Prevencion de riesgo publicoPrevencion de riesgo publico
Prevencion de riesgo publicoreydor30
 
Los riesgos laborales
Los riesgos laboralesLos riesgos laborales
Los riesgos laboralesJosé Luis
 
Factores Sociales Y Culturales
Factores Sociales Y CulturalesFactores Sociales Y Culturales
Factores Sociales Y CulturalesGabriela Ramírez
 
Tipos de riesgo y su prevencion
Tipos de riesgo y su prevencionTipos de riesgo y su prevencion
Tipos de riesgo y su prevencionSamanthaGaibor
 
PROBIEREN SIE MAL YP-T10!
PROBIEREN SIE MAL YP-T10!PROBIEREN SIE MAL YP-T10!
PROBIEREN SIE MAL YP-T10!damai789
 
nexxter eGame Avertising
nexxter eGame Avertisingnexxter eGame Avertising
nexxter eGame Avertisingnexxter
 
EMPRENDEDOR POR JOSE DE JESUS OLVERA
EMPRENDEDOR POR JOSE DE JESUS OLVERAEMPRENDEDOR POR JOSE DE JESUS OLVERA
EMPRENDEDOR POR JOSE DE JESUS OLVERAJOSE DE JESUS OLVERA
 
Mc cuisine 1 que pour les yeux !
Mc cuisine 1 que pour les yeux !Mc cuisine 1 que pour les yeux !
Mc cuisine 1 que pour les yeux !Marisagg
 
Energiewende: Strommarktdesign (oder: Leistung muss sich wieder lohnen …)
Energiewende: Strommarktdesign (oder: Leistung muss sich wieder lohnen …)Energiewende: Strommarktdesign (oder: Leistung muss sich wieder lohnen …)
Energiewende: Strommarktdesign (oder: Leistung muss sich wieder lohnen …)Oeko-Institut
 
Presentation Russie_Cadénac_déc. 2010
Presentation Russie_Cadénac_déc. 2010Presentation Russie_Cadénac_déc. 2010
Presentation Russie_Cadénac_déc. 2010Jean-Paul Chéno
 
Projet carrière de informatique
Projet carrière de informatiqueProjet carrière de informatique
Projet carrière de informatiquejebo1411
 

Viewers also liked (20)

Factores Sociales Y Culturales De Situaciones De Riesgo
Factores Sociales Y Culturales De Situaciones De RiesgoFactores Sociales Y Culturales De Situaciones De Riesgo
Factores Sociales Y Culturales De Situaciones De Riesgo
 
los factores sociales y culturales que porvocan situaciones de riesgo para lo...
los factores sociales y culturales que porvocan situaciones de riesgo para lo...los factores sociales y culturales que porvocan situaciones de riesgo para lo...
los factores sociales y culturales que porvocan situaciones de riesgo para lo...
 
Prevencion de riesgo publico
Prevencion de riesgo publicoPrevencion de riesgo publico
Prevencion de riesgo publico
 
Los riesgos laborales
Los riesgos laboralesLos riesgos laborales
Los riesgos laborales
 
Riesgo publico
Riesgo publicoRiesgo publico
Riesgo publico
 
Factores Sociales Y Culturales
Factores Sociales Y CulturalesFactores Sociales Y Culturales
Factores Sociales Y Culturales
 
Tipos de riesgo y su prevencion
Tipos de riesgo y su prevencionTipos de riesgo y su prevencion
Tipos de riesgo y su prevencion
 
3.clasificacion y subclasificacion de factores de riesgo
3.clasificacion y subclasificacion de factores de riesgo3.clasificacion y subclasificacion de factores de riesgo
3.clasificacion y subclasificacion de factores de riesgo
 
PROBIEREN SIE MAL YP-T10!
PROBIEREN SIE MAL YP-T10!PROBIEREN SIE MAL YP-T10!
PROBIEREN SIE MAL YP-T10!
 
Tekuidamos 2.0
Tekuidamos 2.0 Tekuidamos 2.0
Tekuidamos 2.0
 
Les crêpes
Les crêpesLes crêpes
Les crêpes
 
nexxter eGame Avertising
nexxter eGame Avertisingnexxter eGame Avertising
nexxter eGame Avertising
 
Portail des PME 2011
Portail des PME 2011Portail des PME 2011
Portail des PME 2011
 
Neo Technology
Neo TechnologyNeo Technology
Neo Technology
 
EMPRENDEDOR POR JOSE DE JESUS OLVERA
EMPRENDEDOR POR JOSE DE JESUS OLVERAEMPRENDEDOR POR JOSE DE JESUS OLVERA
EMPRENDEDOR POR JOSE DE JESUS OLVERA
 
Marchicamed
MarchicamedMarchicamed
Marchicamed
 
Mc cuisine 1 que pour les yeux !
Mc cuisine 1 que pour les yeux !Mc cuisine 1 que pour les yeux !
Mc cuisine 1 que pour les yeux !
 
Energiewende: Strommarktdesign (oder: Leistung muss sich wieder lohnen …)
Energiewende: Strommarktdesign (oder: Leistung muss sich wieder lohnen …)Energiewende: Strommarktdesign (oder: Leistung muss sich wieder lohnen …)
Energiewende: Strommarktdesign (oder: Leistung muss sich wieder lohnen …)
 
Presentation Russie_Cadénac_déc. 2010
Presentation Russie_Cadénac_déc. 2010Presentation Russie_Cadénac_déc. 2010
Presentation Russie_Cadénac_déc. 2010
 
Projet carrière de informatique
Projet carrière de informatiqueProjet carrière de informatique
Projet carrière de informatique
 

Similar to Establecimiento de niveles de riesgo de las politicas de seguridad

Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPablo
 
Análisis y Gestión de Riesgos
Análisis y Gestión de RiesgosAnálisis y Gestión de Riesgos
Análisis y Gestión de RiesgosTensor
 
Analisis de Riesgos
Analisis de RiesgosAnalisis de Riesgos
Analisis de RiesgosTensor
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgosUPTM
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgosRosaly Mendoza
 
Que es una auditoría informática omar moreno
Que es una auditoría informática omar morenoQue es una auditoría informática omar moreno
Que es una auditoría informática omar morenoOmar Moreno Ferro
 
Evidencias 2 redes y seguridad
Evidencias 2 redes y seguridadEvidencias 2 redes y seguridad
Evidencias 2 redes y seguridadJose Torres
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacionmaxol03
 
Parte2 Auditoria Informatica
Parte2 Auditoria InformaticaParte2 Auditoria Informatica
Parte2 Auditoria InformaticaHernán Sánchez
 

Similar to Establecimiento de niveles de riesgo de las politicas de seguridad (20)

Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionales
 
Análisis y Gestión de Riesgos
Análisis y Gestión de RiesgosAnálisis y Gestión de Riesgos
Análisis y Gestión de Riesgos
 
Analisis de Riesgos
Analisis de RiesgosAnalisis de Riesgos
Analisis de Riesgos
 
Evidencia 2
Evidencia 2Evidencia 2
Evidencia 2
 
Actividad 2 crs
Actividad 2 crsActividad 2 crs
Actividad 2 crs
 
Tarea adela
Tarea adelaTarea adela
Tarea adela
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgos
 
redes y seguridad Evidencias 2
redes y seguridad Evidencias 2redes y seguridad Evidencias 2
redes y seguridad Evidencias 2
 
redes y seguridad semana 2
redes y seguridad semana 2redes y seguridad semana 2
redes y seguridad semana 2
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgos
 
Que es una auditoría informática omar moreno
Que es una auditoría informática omar morenoQue es una auditoría informática omar moreno
Que es una auditoría informática omar moreno
 
Evidencia 2 sandra jaramillo
Evidencia 2 sandra jaramilloEvidencia 2 sandra jaramillo
Evidencia 2 sandra jaramillo
 
Actividad 3 crs
Actividad 3 crsActividad 3 crs
Actividad 3 crs
 
Evidencias 2 redes y seguridad
Evidencias 2 redes y seguridadEvidencias 2 redes y seguridad
Evidencias 2 redes y seguridad
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacion
 
Parte2 Auditoria Informatica
Parte2 Auditoria InformaticaParte2 Auditoria Informatica
Parte2 Auditoria Informatica
 
Actividad3crs
Actividad3crsActividad3crs
Actividad3crs
 
Actividad 3-redes-y-seguridad
Actividad 3-redes-y-seguridadActividad 3-redes-y-seguridad
Actividad 3-redes-y-seguridad
 
Actividad 3 CRS
Actividad 3 CRSActividad 3 CRS
Actividad 3 CRS
 
Evidencias 3 redes y seguridad
Evidencias 3 redes y seguridad Evidencias 3 redes y seguridad
Evidencias 3 redes y seguridad
 

More from YESENIA CETINA

Tecnicas de expresion oral
Tecnicas de expresion oralTecnicas de expresion oral
Tecnicas de expresion oralYESENIA CETINA
 
Arquitectura de memorias RAM, ROM,CACHE 2
Arquitectura de memorias RAM, ROM,CACHE 2Arquitectura de memorias RAM, ROM,CACHE 2
Arquitectura de memorias RAM, ROM,CACHE 2YESENIA CETINA
 
Arquitectura de memorias RAM, ROM Y CACHE
Arquitectura de memorias RAM, ROM Y CACHEArquitectura de memorias RAM, ROM Y CACHE
Arquitectura de memorias RAM, ROM Y CACHEYESENIA CETINA
 
Arquitectura del mouse
Arquitectura del mouseArquitectura del mouse
Arquitectura del mouseYESENIA CETINA
 
Arquitectura de la memoria flash
Arquitectura de la memoria flashArquitectura de la memoria flash
Arquitectura de la memoria flashYESENIA CETINA
 
Arquitectura del teclado
Arquitectura del tecladoArquitectura del teclado
Arquitectura del tecladoYESENIA CETINA
 
Modelos de arquitecturas de computadoras
Modelos de arquitecturas de computadorasModelos de arquitecturas de computadoras
Modelos de arquitecturas de computadorasYESENIA CETINA
 
La computadora y la comunicacion
La computadora y la comunicacionLa computadora y la comunicacion
La computadora y la comunicacionYESENIA CETINA
 
Graficacion por Computadora
Graficacion por ComputadoraGraficacion por Computadora
Graficacion por ComputadoraYESENIA CETINA
 
Sistemas operativos PC Y Móviles
Sistemas operativos PC Y MóvilesSistemas operativos PC Y Móviles
Sistemas operativos PC Y MóvilesYESENIA CETINA
 
Proteccion de la información
Proteccion de la informaciónProteccion de la información
Proteccion de la informaciónYESENIA CETINA
 
Modelos de arquitecturas de computadoras
Modelos de arquitecturas de computadorasModelos de arquitecturas de computadoras
Modelos de arquitecturas de computadorasYESENIA CETINA
 
Proyecciones cartograficas
Proyecciones cartograficasProyecciones cartograficas
Proyecciones cartograficasYESENIA CETINA
 
Opera las funciones básicas de una computadora con ejercicios
Opera las funciones básicas de una computadora con ejerciciosOpera las funciones básicas de una computadora con ejercicios
Opera las funciones básicas de una computadora con ejerciciosYESENIA CETINA
 
Arquitectura del procesador
Arquitectura del procesadorArquitectura del procesador
Arquitectura del procesadorYESENIA CETINA
 

More from YESENIA CETINA (20)

Tecnicas de expresion oral
Tecnicas de expresion oralTecnicas de expresion oral
Tecnicas de expresion oral
 
Arquitectura de memorias RAM, ROM,CACHE 2
Arquitectura de memorias RAM, ROM,CACHE 2Arquitectura de memorias RAM, ROM,CACHE 2
Arquitectura de memorias RAM, ROM,CACHE 2
 
Arquitectura de memorias RAM, ROM Y CACHE
Arquitectura de memorias RAM, ROM Y CACHEArquitectura de memorias RAM, ROM Y CACHE
Arquitectura de memorias RAM, ROM Y CACHE
 
Interrupciones
InterrupcionesInterrupciones
Interrupciones
 
Buses
BusesBuses
Buses
 
Arquitectura del mouse
Arquitectura del mouseArquitectura del mouse
Arquitectura del mouse
 
Arquitectura de la memoria flash
Arquitectura de la memoria flashArquitectura de la memoria flash
Arquitectura de la memoria flash
 
Arquitectura del teclado
Arquitectura del tecladoArquitectura del teclado
Arquitectura del teclado
 
Modelos de arquitecturas de computadoras
Modelos de arquitecturas de computadorasModelos de arquitecturas de computadoras
Modelos de arquitecturas de computadoras
 
La computadora y la comunicacion
La computadora y la comunicacionLa computadora y la comunicacion
La computadora y la comunicacion
 
Graficacion por Computadora
Graficacion por ComputadoraGraficacion por Computadora
Graficacion por Computadora
 
Sistemas operativos PC Y Móviles
Sistemas operativos PC Y MóvilesSistemas operativos PC Y Móviles
Sistemas operativos PC Y Móviles
 
Proteccion de la información
Proteccion de la informaciónProteccion de la información
Proteccion de la información
 
Rubrica Blender
Rubrica BlenderRubrica Blender
Rubrica Blender
 
Manual blender
Manual blenderManual blender
Manual blender
 
Modelos de arquitecturas de computadoras
Modelos de arquitecturas de computadorasModelos de arquitecturas de computadoras
Modelos de arquitecturas de computadoras
 
Proyecciones cartograficas
Proyecciones cartograficasProyecciones cartograficas
Proyecciones cartograficas
 
Opera las funciones básicas de una computadora con ejercicios
Opera las funciones básicas de una computadora con ejerciciosOpera las funciones básicas de una computadora con ejercicios
Opera las funciones básicas de una computadora con ejercicios
 
Sistema operativo
Sistema operativoSistema operativo
Sistema operativo
 
Arquitectura del procesador
Arquitectura del procesadorArquitectura del procesador
Arquitectura del procesador
 

Recently uploaded

tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptJavierHerrera662252
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx241523733
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 

Recently uploaded (20)

tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.pptTEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
TEMA 2 PROTOCOLO DE EXTRACCION VEHICULAR.ppt
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
GonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptxGonzalezGonzalez_Karina_M1S3AI6... .pptx
GonzalezGonzalez_Karina_M1S3AI6... .pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 

Establecimiento de niveles de riesgo de las politicas de seguridad

  • 1. Establecimiento de niveles de riesgo de los recursos involucrados.
  • 2. Introducción Al crear una política de seguridad de red, es importante entender que la razón para crear tal política es, en primer lugar, asegurar que los esfuerzos invertidos en la seguridad son costeables. ● ¿Cuáles recursos de la red vale la pena proteger? ● ¿Cuál es la fuente de amenaza?
  • 3. El análisis de riesgos implica determinar lo siguiente:  Qué se necesita proteger  De quién protegerlo  ·Cómo protegerlo
  • 4. Los riesgos se clasifican por el nivel de importancia y por la severidad de la pérdida. ● No se debe llegar a una situación donde se gasta más para proteger aquello que es menos valioso.
  • 5. En el análisis de los riesgos, es necesario determinar los siguientes factores: ● Estimación del riesgo de pérdida del recurso (lo llamaremos Ri). ● Estimación de la importancia del recurso (lo llamaremos Wi).
  • 6.  Asignar un valor numérico. Por ejemplo, al riesgo (Ri) de perder un recurso, se le asigna un valor de cero a diez, donde cero, significa que no hay riesgo y diez es el riesgo más alto.  De manera similar, a la importancia de un recurso (Wi) también se le puede asignar un valor de cero a diez, donde cero significa que no tiene importancia y diez es la importancia más alta.  La evaluación general del riesgo será entonces el producto del valor del riesgo y su importancia (también llamado el peso). Esto puede escribirse como: WRi = Ri *Wi
  • 7. Donde:  WRi : es el peso del riesgo del recurso “i” (también lo podemos llamar ponderación)  Ri : es el riesgo del recurso “i”  Wi : es la importancia del recurso “i”
  • 8.
  • 9. Ejemplo práctico  Los administradores de la red y de sistemas han producido las estimaciones siguientes para el riesgo y la importancia de cada uno de los dispositivos que forman nuestra red:  Como se ve, a cada uno de los componentes del sistemas, se le ha asignado un cierto riesgo y una cierta importancia. Hay que destacar que estos valores son totalmente subjetivos, dependen exclusivamente de quien ó quienes están realizando la evaluación.
  • 10.  Tenemos, entonces: Router:  R1 = 6  W1 = 7 Bridge:  R2 = 6  W2 = 3 Servidor:  R3 = 10  W3 = 10
  • 11.  El cálculo de los riesgos evaluados, será, para cada dispositivo: Router:  WR1 = R1 * W1 = 6 * 7 = 42 Bridge:  WR2 = R2 * W2 = 6 * 3 = 18 Servidor:  WR3 = R3 * W3 = 10 * 10 = 100
  • 12. La tabla que sigue a continuación, nos muestra cómo podríamos llevar a cabo esta tarea de una manera ordenada y los valores que contiene son los que hemos tratado:
  • 13. Vemos que, en este caso, el recurso que debemos proteger más es el Servidor ya que su riesgo ponderado es muy alto. Por tanto, comenzaremos por buscar las probables causas que pueden provocar problemas con los servicios brindados por él.
  • 14. Hay que tener muy en cuenta que, al realizar el análisis de riesgo, se deben identificar todos los recursos (por más triviales que parezcan) cuya seguridad está en riesgo de ser quebrantada.
  • 15.  Ahora bien, ¿cuáles son los recursos? Los recursos que deben ser considerados al estimar las amenazas a la seguridad son solamente seis:  Hardware: procesadores, tarjetas, teclados, terminales, estaciones de trabajo, computadoras personales, impresoras, unidades de disco, líneas de comunicación, cableado de la red, servidores de terminal, routers, bridges.
  • 16.  Software: programas fuente, programas objeto, utilerías, programas de diagnóstico, sistemas operativos, programas de comunicaciones.  Datos: durante la ejecución, almacenados en línea, archivados fuera de línea, back-up, bases de datos, en tránsito sobre medios de comunicación.  Gente: usuarios, personas para operar los sistemas.  Documentación: sobre programas, hardware, sistemas, procedimientos administrativos locales.  Accesorios: papel, formularios, cintas, información grabada.
  • 17. La pregunta que cabe formular, luego de haber hecho el trabajo anterior, es cómo protegemos ahora nuestros recursos. Tal vez, ésta sea la pregunta más difícil de responder, pues, según el recurso del que se trate, será el modo de protegerlo.
  • 18. Primero, deberemos tener en cuenta qué es lo queremos proteger. Si se trata de los problemas ocasionados por el personal propio o de intromisiones clandestinas que puedan afectar la operatoria de la organización.
  • 19. Hay que tener en cuenta, que todos los estudios realizados demuestran que el 80% de los problemas proceden de los llamados “clientes internos” de la organización (los empleados o elementos que se desempeñan en la organización), y sólo el 20 % restante, proviene de elementos externos a la organización.
  • 20. Una aproximación acerca de cómo proteger los recursos de los problemas originados por el cliente interno consiste en la identificación del uso correcto de los mismos por parte de éstos.
  • 21. Pero primero, deberemos saber quiénes son los que van a hacer uso de los recursos. Es decir se debe contar, previamente, con un conocimiento cabal de todos los usuarios que tenemos en el sistema. Esta lista no es obligatoriamente individual, sino que puede ser, en efecto, una lista por grupos de usuarios y sus necesidades en el sistema. Esta es, con seguridad, la práctica más extendida pues, definida la necesidad de un grupo de usuarios, lo más efectivo es englobarlos a todos en un mismo grupo.
  • 22. Una vez identificados los usuarios (o grupos de usuarios), se puede realizar la determinación de los recursos de que harán uso y de los permisos que tendrán. Esto es sencillo de realizar con una tabla como la siguiente:
  • 23. Este modelo, nos permitirá disponer para cada usuario (o grupos de usuarios), la información de qué se les está permitido hacer y qué no.  El otro problema que nos presenta, es el de las intromisiones clandestinas.  Aquí, es preciso tener en cuenta el tipo de recurso a proteger. En base a ello, estará dada la política de seguridad.
  • 24. Daremos, a continuación, algunos ejemplos acerca de a qué nos estamos enfrentando:  ¿Cómo aseguramos que no están ingresando a nuestro sistema por un puerto desprotegido o mal configurado?  ¿Cómo nos aseguramos de que no se estén usando programas propios del sistema operativo o aplicaciones para ingresar al sistema en forma clandestina?  ¿Cómo aseguramos de que, ante un corte de energía eléctrica, el sistema seguirá funcionando?
  • 25.  ¿Cómo nos aseguramos de que los medios de transmisión de información no son susceptibles de ser monitoreados?  ¿Cómo actúa la organización frente al alejamiento de uno de sus integrantes?
  • 26. La respuesta a estos interrogantes reside en la posibilidad de conseguir dicha seguridad por medio de herramientas de control y seguimiento de accesos, utilizando check-lists para comprobar puntos importantes en la configuración y/o funcionamiento de los sistemas y por medio de procedimientos que hacen frente a las distintas situaciones.
  • 27. Es muy aconsejable que se disponga de una agenda con las tareas que se deben llevar a cabo regularmente, a fin de que el seguimiento de los datos obtenidos sea efectivo y se puedan realizar comparaciones válidas al contar con datos secuenciales. Esta agenda, podría ser en sí misma un procedimiento
  • 28.  Damos, a continuación, un ejemplo de procedimiento de chequeo de eventos en el sistema: Diariamente:  Extraer un logístico sobre el volumen de correo transportado. Extraer un logístico sobre las conexiones de red levantadas en las últimas 24 horas.
  • 29. Semanalmente:  Extraer un logístico sobre los ingresos desde el exterior a la red interna.  Extraer un logístico con las conexiones externas realizadas desde nuestra red.  Obtener un logístico sobre los downloads de archivos realizados y quién los realizó.  Obtener gráficos sobre tráfico en la red.  Obtener logísticos sobre conexiones realizadas en horarios no normales (desde dónde, a qué hora y con qué destino).
  • 30. Mensualmente:  Realizar un seguimiento de todos los archivos logísticos a fin de detectar cambios (realizados con los archivos de back-up del mes anterior).
  • 31. Cabría resaltar que, en gran parte, este procedimiento puede ser automatizado por medio de programas que realicen las tareas y sólo informen de las desviaciones con respecto a las reglas dadas.
  • 32. Acerca de los procedimientos  Si se piensa certificar ISO, es indispensable tener un manual de procedimientos escrito y llevarlo a cabo al pie de la letra. De esta manera, cabría pensar que un manual de procedimientos es un paso adelante para poder llegar a la certificación ISO.
  • 33. Procedimiento de alta de cuenta de usuario Cuando un elemento de la organización requiere una cuenta de operación en el sistema, debe llenar un formulario que contenga, al menos los siguientes datos:  Nombre y Apellido  Puesto de trabajo  Jefe inmediato superior que avale el pedido  Descripción de los trabajos que debe realizar en el sistema  Consentimiento de que sus actividades son susceptibles de ser auditadas en cualquier momento y de que conoce las normas de “buen uso de los recursos” (para lo cual, se le debe dar una copia de tales normas).  Explicaciones breves, pero claras de cómo elegir su password.
  • 34. Procedimiento de alta de cuenta de usuario Asimismo, este formulario debe tener otros elementos que conciernen a la parte de ejecución del área encargada de dar de alta la cuenta, datos como:  Tipo de cuenta  Fecha de caducidad  Fecha de expiración  Datos referentes a los permisos de acceso (por ejemplo, tipos de permisos a los diferentes directorios y/o archivos)  Si tiene o no restricciones horarias para el uso de algunos recursos y/o para el ingreso al sistema.
  • 35. Procedimiento de baja de cuenta de usuario  Este procedimiento es el que se lleva a cabo cuando se aleja un elemento de la organización o cuando alguien deja de trabajar por un determinado tiempo (licencia sin goce de sueldo, vacaciones, viajes prolongados, etc.). En base a la explicación anterior hay, entonces, dos tipos de alejamientos: permanente y parcial.
  • 36. Aquí, es necesario definir un circuito administrativo a seguir, y que como todos los componentes de la política de seguridad, debe estar fuertemente apoyado por la parte gerencial de la organización.
  • 37.  Un ejemplo de este circuito, podría ser: ante el alejamiento de un elemento de la organización, la gerencia de personal (o la sección encargada de la administración de los RRHH), debe informar en un formulario de “Alejamiento de personal”, todos los datos del individuo que ha dejado la organización, así como de la posición que éste ocupaba y el tipo de alejamiento (permanente o no).  Una vez llegada la información al departamento encargado de la administración de sistemas, se utiliza para dar de baja o inhabilitar la cuenta del usuario
  • 38. La definición de si se da de baja o se inhabilita es algo importante pues, si se da de baja, se deberían guardar y eliminar los archivos y directorios del usuario, mientras que si sólo se inhabilita, no pasa de esa acción.  Si el alejamiento del individuo no era permanente, al volver a la organización, la sección que había informado anteriormente de la ausencia, debe comunicar su regreso, por medio de un formulario dando cuenta de tal hecho para volver a habilitar la cuenta al individuo.
  • 39. Procedimiento para determinar las buenas passwords  Aunque no lo parezca, la verificación de palabras claves efectivas no es algo frecuente en casi ninguna organización. El procedimiento debe explicar las normas para elegir una password:
  • 40. Procedimiento para determinar las buenas passwords Se debe explicitar  La cantidad de caracteres mínimo que debe tener  No tiene que tener relación directa con las características del usuario.  Debe constar de caracteres alfanuméricos, mayúsculas, minúsculas, números y símbolos de puntuación.  Determinar, si es posible, el seguimiento de las palabras claves (llevar registros de las palabras claves anteriores elegidas por el usuario).
  • 41. Procedimiento para determinar las buenas passwords  Una vez que el usuario ha elegido su password, se le debe correr un “programa crackeador” para tener idea de cuán segura es, en base al tiempo que tarda en romper la palabra.
  • 42. Procedimientos de verificación de accesos  Debe explicar la forma de realizar las auditorías de los archivos logísticos de ingresos a fin de detectar actividades anómalas. También debe detectar el tiempo entre la auditoría y cómo actuar en caso de detectar desviaciones.
  • 43. Procedimientos de verificación de accesos  Normalmente, este trabajo es realizado por programas a los que se les dan normativas de qué y cómo comparar. Escanean archivos de “log” con diferentes fechas tomando en cuenta las reglas que se le han dado. Ante la detección de un desvío, generan reportes informando el mismo.
  • 44. Procedimientos de verificación de accesos  En el procedimiento debe quedar perfectamente indicado quién es el responsable del mantenimiento de estos programas y cómo se actúa cuando se generan alarmas
  • 45. Procedimiento para el chequeo del tráfico de la red  Permite conocer el comportamiento del tráfico en la red, al detectar variaciones que pueden ser síntoma de mal uso de la misma.  El procedimiento debe indicar el/los programas que se ejecuten, con qué intervalos, con qué reglas de trabajo, quién se encarga de procesar y/o monitorear los datos generados por ellos y cómo se actúa en consecuencia.
  • 46. Procedimiento para el monitoreo de los volúmenes de correo  permite conocer los volúmenes del tráfico de correo o la cantidad de “mails” en tránsito. Dicho procedimiento se encuentra realizado por programas que llevan las estadísticas, generando reportes con la información pedida. El conocimiento de esta información permite conocer, entre otras cosas, el uso de los medios de comunicación, y si el servidor está siendo objeto de un “spam”.
  • 47. Procedimiento para el monitoreo de los volúmenes de correo  Como en los casos anteriores, en el procedimiento debe estar explicitado quién es el encargado del mantenimiento y del análisis de los datos generados, y qué hacer cuando se detectan variaciones.
  • 48. Procedimientos para el monitoreo de conexiones activas  Este procedimiento se efectúa con el objeto de prevenir que algún usuario deje su terminal abierta y sea posible que alguien use su cuenta. El procedimiento es ejecutado por medio de programas que monitorean la actividad de las conexiones de usuarios.  Cuando detecta que una terminal tiene cierto tiempo inactiva, cierra la conexión y genera un log con el acontecimiento.
  • 49. Procedimiento de modificación de archivos  Este procedimiento sirve para detectar la modificación no autorizada y la integridad de los archivos y, en muchos casos, permite la traza de las modificaciones realizadas.  Al igual que en los casos anteriores, debe estar bien determinada la responsabilidad de quién es el encargado del seguimiento y de actuar en caso de alarmas.
  • 50. Procedimientos para el resguardo de copias de seguridad  Debe indicar claramente dónde se deben guardar las copias de seguridad y los pasos a seguir en caso de problemas. Para lograr esto, deben estar identificados los roles de las personas que interactúan con el área, a fin de que cada uno sepa qué hacer ante la aparición de problemas
  • 51. Procedimientos para la verificación de las máquinas de los usuarios  Este procedimiento permitirá encontrar programas que no deberían estar en las máquinas de los usuarios y que, por su carácter, pueden traer problemas de licencias y fuente potencial de virus. El procedimiento debe explicitar los métodos que se van a utilizar para la verificación, las acciones ante los desvíos y quién/quiénes lo llevarán a cabo.
  • 52. Procedimientos para el monitoreo de los puertos en la red  Este procedimiento permite saber qué puertos están habilitados en la red, y, en algunos casos, chequear la seguridad de los mismos. El procedimiento deberá describir qué programas se deben ejecutar, con qué reglas, quién estará a cargo de llevarlo a cabo y qué hacer ante las desviaciones detectadas.
  • 53. Procedimientos de cómo dar a publicidad las nuevas normas de seguridad  Este tipo de procedimiento no siempre es tenido en cuenta. Sin embargo, en una organización es muy importante conocer las últimas modificaciones realizadas a los procedimientos, de tal manera que nadie pueda poner cómo excusa “que no conocía las modificaciones”.
  • 54. Procedimientos de cómo dar a publicidad las nuevas normas de seguridad  Es fundamental tener en cuenta este último punto ya que un porcentaje de los problemas de seguridad, según está demostrado en estudios de mercado, proviene del desconocimiento de las normas y/o modificaciones a ellas por parte de los usuarios.
  • 55. Procedimientos para la determinación de identificación de usuario y grupo de pertenencia por defecto  Determina la forma de establecer las identificaciones y los grupos a los que pertenecerán los usuarios por defecto en el momento de darlos de alta. En él deben explicarse, concisamente, los pasos a seguir para cambiar los derechos y las identificaciones de los usuarios dados de alta y la manera de documentar los mismos, así también como quién será responsable de la tarea.
  • 56. Procedimientos para recuperar información  Sirve para reconstruir todo el sistema o parte de él, a partir de las copias de seguridad. En él, deben explicarse todos los pasos a seguir para rearmar el sistema a partir de los back-up existentes, así como cada cuánto tiempo habría que llevarlos a cabo y quiénes son los responsables de dicha tarea
  • 57. Check-Lists  Las check-lists, como su nombre lo indica, son listas con un conjunto de ítems referentes a lo que habría que chequear en el funcionamiento del sistema.  Algunos ejemplos de check-lists:
  • 58. Check-Lists  Asegurar el entorno. ¿Qué es necesario proteger? ¿Cuáles son los riesgos?  Determinar prioridades para la seguridad y el uso de los recursos.  Crear planes avanzados sobre qué hacer en una emergencia.
  • 59. Check-Lists  Trabajar para educar a los usuarios del sistema sobre las necesidades y las ventajas de la buena seguridad  Estar atentos a los incidentes inusuales y comportamientos extraños.  Asegurarse de que cada persona utilice su propia cuenta.
  • 60. Check-Lists  ¿Están las copias de seguridad bien resguardadas?  No almacenar las copias de seguridad en el mismo sitio donde se las realiza  ¿Los permisos básicos son de sólo lectura?  Si se realizan copias de seguridad de directorios/archivos críticos, usar chequeo de comparación para detectar modificaciones no autorizadas.
  • 61. Check-Lists  Periódicamente rever todo los archivos de “booteo de los sistemas y los archivos de configuración para detectar modificaciones y/o cambios en ellos.  Tener sensores de humo y fuego en el cuarto de computadoras.  Tener medios de extinción de fuego adecuados en el cuarto de computadoras.
  • 62. Check-Lists  Entrenar a los usuarios sobre qué hacer cuando se disparan las alarmas.  Instalar y limpiar regularmente filtros de aire en el cuarto de computadoras.  Instalar UPS, filtros de línea, protectores gaseosos al menos en el cuarto de computadoras.  Tener planes de recuperación de desastres.
  • 63. Check-Lists  Considerar usar fibras ópticas como medio de transporte de información en la red.  Nunca usar teclas de función programables en una terminal para almacenar información de login o password.  Considerar realizar autolog de cuentas de usuario.  Concientizar a los usuarios de pulsar la tecla ESCAPE antes de ingresar su login y su password, a fin de prevenir los “Caballos de Troya”.
  • 64. Check-Lists  Considerar la generación automática de password.  Asegurarse de que cada cuenta tenga un password.  No crear cuentas por defecto o “guest” para alguien que está temporariamente en la organización.
  • 65. Check-Lists  No permitir que una sola cuenta esté compartida por un grupo de gente.  Deshabilitar las cuentas de personas que se encuentren fuera de la organización por largo tiempo.  Deshabilitar las cuentas “dormidas” por mucho tiempo.
  • 66. Check-Lists  Deshabilitar o resguardar físicamente las bocas de conexión de red no usadas.  Limitar el acceso físico a cables de red, routers, bocas, repetidores y terminadores.  Los usuarios deben tener diferentes passwords sobre diferentes segmentos de la red.  Monitorear regularmente la actividad sobre los gateways.
  • 67. Actividad en equipo  Realizar un check lists por cada procedimiento mencionado.  Visitar a una empresa que cuente con un sistema de red  Verificar si cumple o no con lo planteado  Realizar un informe en un archivo de Word  Subirlo al grupo en trabajos en equipo  1 integrante lo va a subir solamente