SlideShare a Scribd company logo

Clase 4 analisis de riesgos

Download as PPT, PDF
R
Rosaly Mendoza

28 feb

1 of 29
PNF INFORMÁTICA. T4T1 SEGURIDAD INFORMÁTICA PROF: Johanna Gómez
Estimación del grado de exposición de una amenaza sobre uno o más activos causando daños o perjuicios a la Organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.
Las amenazas son eventos que pueden producir daños materiales o inmateriales en los activos . Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño. Hay amenazas naturales (terremotos, inundaciones, ...) y desastres industriales o servicios (contaminación, fallos eléctricos, ...) ante los cuales el sistema de información es víctima. También hay amenazas causadas por las personas , bien errores o bien ataques intencionados.
Las políticas de seguridad son las prácticas, procedimientos o mecanismos que ayudan a reducir el riesgo. Políticas de seguridad
 
Gracias a este análisis de riesgos conoceremos el impacto económico de un fallo de seguridad y la probabilidad realista de que este ocurra .
Por ejemplo, imaginemos que una organización tiene un servidor que contiene información definida como de bajo valor.
Servidor
 
 
 
El objetivo principal de este proceso es establecer el marco general de referencia para todo el análisis. Esta etapa incluye la estimación de: Personal técnico: Personas cuya función es recabar la información y establecer las medidas necesarias para cumplir con el análisis. Usuarios: Son aquellas de quienes se recogerá la información dentro de la organización Recursos económicos necesarios para la ejecución. Definir los objetivos del proceso de análisis de riesgos. Tiempo estimado para realizar el análisis y elaborar las políticas. Podría ser con un diagrama de Gantt
Estimación del tiempo: debe ser realizado utilizando el Diagrama de Gantt, definiendo el tiempo necesario que se tomara el equipo en cada etapa o fase.
El entregable de esta etapa será un documento que describa a profundidad los aspectos antes mencionados, para tal fin se ofrece un modelo como ejemplo. Análisis y gestión de riesgos Etapa 1: Planificación Fecha: Objetivos: Personal: Técnico: Usuarios: Programador(es):______ Gerente:_____ Entrevistador(es):______ Secretaria:____ Entre otros:_____ Docentes: ____ Recursos
Se denomina activos a los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección. ,[object Object],[object Object],[object Object],[object Object]
[object Object],[object Object],[object Object],[object Object],No siempre es evidente identificar un activo. Si por ejemplo se tienen 300 puestos de trabajo o PC, todos idénticos a efectos de configuración y datos que manejan, no es conveniente analizar 300 activos idénticos. Basta analizar un PC genérico que cuya problemática representa la de todos. Agrupar simplifica el análisis. Otras veces se presenta el caso contrario, un servidor central que se encarga de varias funciones: servidor de archivos, de mensajería, de la intranet, del sistema de gestión documental y ... En este caso conviene segregar los servicios prestados y analizarlos por separado.
El entregable de esta etapa es la descripción de cada tipo de activo con su respectiva , función dentro de la organización entre algunos otros aspectos que sean importantes describir. Para ello se puede utilizar el siguiente formato: Análisis de riesgos Etapa 2: Identificación de activos Activo #: _____ Tipo de activo Físico: ____ Lógico:____ Nombre: Descripción:
Tipo de amenaza: Tipos de activos: Dimensiones: Descripción: Tipo de activo: Amenazas: Dimensiones: Descripción:
Cuando hablamos de las dimensiones, hacemos memoria y recordamos los principios de la seguridad de la información. Ellas son características o atributos que hacen valioso un activo. Las dimensiones se utilizan para valorar las consecuencias de la materialización de una amenaza. La valoración que recibe un activo en una cierta dimensión es la medida del perjuicio para la organización si el activo se ve dañado en dicha dimensión. Ellas son: Autenticidad Confidencialidad A ellos agregamos : Trazabilidad del servicio Integridad Trazabilidad de los datos. Disponibilidad
Llevándolas a la realidad, las dimensiones en un activo, las podemos definir así: • su autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace o ha hecho cada cosa? Esta valoración es típica de servicios (autenticidad del usuario) y de los datos (autenticidad de quien accede a los datos para escribir o, simplemente, consultar) • su confidencialidad: ¿qué daño causaría que lo conociera quien no debe? Esta valoración es típica de datos. • su integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto? Esta valoración es típica de los datos, que pueden estar manipulados, ser total o parcialmente falsos o, incluso, faltar datos. • su disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo? Esta valoración es típica de los servicios.
Ahora bien, en sistemas dedicados a la administración electrónica o al comercio electrónico, el conocimiento de los usuarios es fundamental para poder prestar el servicio correctamente y poder perseguir los fallos (accidentales o deliberados) que pudieran darse. En estos activos, además de la autenticidad, interesa calibrar la: • la trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se le presta tal servicio? O sea, ¿quién hace qué y cuándo? • la trazabilidad del acceso a los datos: ¿qué daño causaría no saber quién accede a qué datos y qué hace con ellos?
A continuación vemos un ejemplo sobre la determinación de las amenazas: Desastres naturales: Sucesos que pueden ocurrir sin intervención de los seres humanos como causa directa o indirecta. Tipo de amenaza: Fuego Tipos de activos: Computadoras Redes de comunicación Soportes de información Equipamiento auxiliar Instalaciones Dimensiones: Disponibilidad Descripción: Incendio: Posibilidad de que el fuego acabe con los recursos del sistema. En el material de apoyo encontrarán ejemplos sobre las amenazas más comunes y las dimensiones afectadas
 
Estimación de los riesgos: Amenaza: Fallas no intencionales causados por los usuarios Tipos de activos: Datos/información Aplicaciones Dimensiones: Disponibilidad Integridad ,[object Object],[object Object],[object Object],[object Object],Valor: 9 Daño grave para la organización, ya que implica pérdida de datos/información importantes para la organización. Descripción: Equivocaciones de las personas cuando usan los servicios, datos, etc.
En el material de apoyo se describe la escala y los criterios los criterios asociados.
Escala de valoración de riesgos : Valor Criterio 10 Muy alto Daño muy grave a la organización 7-9 alto Daño grave 4-6 medio Daño importante 1-3 bajo Daño menor 0 despreciable irrelevante
El análisis de los riesgos es un paso importante para implementar la seguridad de la información. Se realiza para detectar los riesgos a los cuales están sometidos los activos en una organización, para saber cuál es la probabilidad de que una amenaza se concrete. La relación que existe entre la amenaza y el valor del riesgo, es la condición principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la corrección de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un análisis de riesgos.
A continuación se les hará entrega de un material, contentivo de casos de estudios con el objetivo de que sea analizados y se realicen algunas reflexiones.
 

Recommended

Análisis de riesgos
Análisis de riesgosAnálisis de riesgos
Análisis de riesgosAlexander Velasque Rimac
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgosUniversidad Tecnológica
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgossgalvan
 
Clase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridadClase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridadRosaly Mendoza
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit MetodologiaAndres Soto Suarez
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octaveAndres Soto Suarez
 
12. tesis. capítulo 2
12. tesis. capítulo 212. tesis. capítulo 2
12. tesis. capítulo 2ucc
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 

Recommended

Análisis de riesgos
Análisis de riesgosAnálisis de riesgos
Análisis de riesgosAlexander Velasque Rimac
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgosUniversidad Tecnológica
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgossgalvan
 
Clase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridadClase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridadRosaly Mendoza
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit MetodologiaAndres Soto Suarez
 
Exposicion octave
Exposicion octaveExposicion octave
Exposicion octaveAndres Soto Suarez
 
12. tesis. capítulo 2
12. tesis. capítulo 212. tesis. capítulo 2
12. tesis. capítulo 2ucc
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 
Analisis de riesgos
Analisis de riesgosAnalisis de riesgos
Analisis de riesgoslissethcespedes19
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosAranda Software
 
Magerit
MageritMagerit
MageritKrolina Agui
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
análisis y gestión del riesgo
análisis y gestión del riesgoanálisis y gestión del riesgo
análisis y gestión del riesgoSindi Santos Cardenas
 
Metodología para la valoración del riesgo
Metodología para la valoración del riesgoMetodología para la valoración del riesgo
Metodología para la valoración del riesgoMaría D Pérez H
 
Metodologia prima
Metodologia primaMetodologia prima
Metodologia primaPaolita Gomez
 
Metodos de evaluacion_riesgos (1)
Metodos de evaluacion_riesgos (1)Metodos de evaluacion_riesgos (1)
Metodos de evaluacion_riesgos (1)Victorino Moya
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoMarcos Harasimowicz
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgocristian andres jaramillo montoya
 
IDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOSIDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOSYENNYS3125
 
Metodologias de Seguridad De Sistemas
Metodologias de Seguridad De SistemasMetodologias de Seguridad De Sistemas
Metodologias de Seguridad De SistemasCarmen Benites
 
Analisis de riesgo
Analisis de riesgoAnalisis de riesgo
Analisis de riesgoCONSORCIO AGUAS DE ABURRA HHA
 
Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaNathy Ahdz
 
EVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDAD
EVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDADEVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDAD
EVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDADYohismilena
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgoindeson12
 
EVALUACION DEL RIESGO INSH-WHAT IF
EVALUACION DEL RIESGO INSH-WHAT IFEVALUACION DEL RIESGO INSH-WHAT IF
EVALUACION DEL RIESGO INSH-WHAT IFsilvanazuniga
 
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOSMETODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOSavaloslaulen
 
Gestión de riesgos
Gestión de riesgos Gestión de riesgos
Gestión de riesgos Alpha Consultoria
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgosUPTM
 
Análisis y Gestión de Riesgos
Análisis y Gestión de RiesgosAnálisis y Gestión de Riesgos
Análisis y Gestión de RiesgosTensor
 

More Related Content

What's hot

Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosAranda Software
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
Metodología para la valoración del riesgo
Metodología para la valoración del riesgoMetodología para la valoración del riesgo
Metodología para la valoración del riesgoMaría D Pérez H
 
Metodos de evaluacion_riesgos (1)
Metodos de evaluacion_riesgos (1)Metodos de evaluacion_riesgos (1)
Metodos de evaluacion_riesgos (1)Victorino Moya
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoMarcos Harasimowicz
 
IDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOSIDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOSYENNYS3125
 
Metodologias de Seguridad De Sistemas
Metodologias de Seguridad De SistemasMetodologias de Seguridad De Sistemas
Metodologias de Seguridad De SistemasCarmen Benites
 
Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaNathy Ahdz
 
EVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDAD
EVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDADEVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDAD
EVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDADYohismilena
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgoindeson12
 
EVALUACION DEL RIESGO INSH-WHAT IF
EVALUACION DEL RIESGO INSH-WHAT IFEVALUACION DEL RIESGO INSH-WHAT IF
EVALUACION DEL RIESGO INSH-WHAT IFsilvanazuniga
 
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOSMETODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOSavaloslaulen
 

What's hot (20)

Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de Riesgos
 
Analisis de riesgos
Analisis de riesgosAnalisis de riesgos
Analisis de riesgos
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgos
 
Magerit
MageritMagerit
Magerit
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
 
análisis y gestión del riesgo
análisis y gestión del riesgoanálisis y gestión del riesgo
análisis y gestión del riesgo
 
Metodología para la valoración del riesgo
Metodología para la valoración del riesgoMetodología para la valoración del riesgo
Metodología para la valoración del riesgo
 
Metodologia prima
Metodologia primaMetodologia prima
Metodologia prima
 
Metodos de evaluacion_riesgos (1)
Metodos de evaluacion_riesgos (1)Metodos de evaluacion_riesgos (1)
Metodos de evaluacion_riesgos (1)
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de Riesgo
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgo
 
IDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOSIDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOS
 
Metodologias de Seguridad De Sistemas
Metodologias de Seguridad De SistemasMetodologias de Seguridad De Sistemas
Metodologias de Seguridad De Sistemas
 
Analisis de riesgo
Analisis de riesgoAnalisis de riesgo
Analisis de riesgo
 
Guia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistemaGuia para la evaluacion de seguridad en un sistema
Guia para la evaluacion de seguridad en un sistema
 
EVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDAD
EVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDADEVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDAD
EVALUACIÓN DEL RIESGO. CONSEJO COLOMBIANO DE SEGURIDAD
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgo
 
EVALUACION DEL RIESGO INSH-WHAT IF
EVALUACION DEL RIESGO INSH-WHAT IFEVALUACION DEL RIESGO INSH-WHAT IF
EVALUACION DEL RIESGO INSH-WHAT IF
 
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOSMETODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
METODOLOGÍA DE IDENTIFICACIÓN DE PELIGROS, EVALUACIÓN Y CONTROL DE RIESGOS
 
Gestión de riesgos
Gestión de riesgos Gestión de riesgos
Gestión de riesgos
 

Similar to Clase 4 analisis de riesgos

Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgosUPTM
 
Análisis y Gestión de Riesgos
Análisis y Gestión de RiesgosAnálisis y Gestión de Riesgos
Análisis y Gestión de RiesgosTensor
 
Analisis de Riesgos
Analisis de RiesgosAnalisis de Riesgos
Analisis de RiesgosTensor
 
Establecimiento de niveles de riesgo de las politicas de seguridad
Establecimiento de niveles de riesgo de las politicas de seguridadEstablecimiento de niveles de riesgo de las politicas de seguridad
Establecimiento de niveles de riesgo de las politicas de seguridadYESENIA CETINA
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPablo
 
Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790albertodiego26
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaEli Castro
 
Administración de Riesgos Informáticos
Administración de Riesgos InformáticosAdministración de Riesgos Informáticos
Administración de Riesgos InformáticosVernicaQuinteroJimne
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgocarma0101
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMICHELCARLOSCUEVASSA
 
Admón del riesgo en informática.
Admón del riesgo en informática.Admón del riesgo en informática.
Admón del riesgo en informática.carolina tovar
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónElio Laureano
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónManager Asesores
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacionmaxol03
 
Inf.seguridad informítica 1
Inf.seguridad informítica 1Inf.seguridad informítica 1
Inf.seguridad informítica 1Naturales32
 

Similar to Clase 4 analisis de riesgos (20)

Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgos
 
Análisis y Gestión de Riesgos
Análisis y Gestión de RiesgosAnálisis y Gestión de Riesgos
Análisis y Gestión de Riesgos
 
Analisis de Riesgos
Analisis de RiesgosAnalisis de Riesgos
Analisis de Riesgos
 
Establecimiento de niveles de riesgo de las politicas de seguridad
Establecimiento de niveles de riesgo de las politicas de seguridadEstablecimiento de niveles de riesgo de las politicas de seguridad
Establecimiento de niveles de riesgo de las politicas de seguridad
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionales
 
Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Administración de Riesgos Informáticos
Administración de Riesgos InformáticosAdministración de Riesgos Informáticos
Administración de Riesgos Informáticos
 
Seguridad informática.docx
Seguridad informática.docxSeguridad informática.docx
Seguridad informática.docx
 
Ensayo auditoria de sistemas
Ensayo auditoria de sistemasEnsayo auditoria de sistemas
Ensayo auditoria de sistemas
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisica
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgo
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
 
Admón del riesgo en informática.
Admón del riesgo en informática.Admón del riesgo en informática.
Admón del riesgo en informática.
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacion
 
Cap3
Cap3Cap3
Cap3
 
Inf.seguridad informítica 1
Inf.seguridad informítica 1Inf.seguridad informítica 1
Inf.seguridad informítica 1
 

Clase 4 analisis de riesgos

  • 1. PNF INFORMÁTICA. T4T1 SEGURIDAD INFORMÁTICA PROF: Johanna Gómez
  • 2. Estimación del grado de exposición de una amenaza sobre uno o más activos causando daños o perjuicios a la Organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.
  • 3. Las amenazas son eventos que pueden producir daños materiales o inmateriales en los activos . Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño. Hay amenazas naturales (terremotos, inundaciones, ...) y desastres industriales o servicios (contaminación, fallos eléctricos, ...) ante los cuales el sistema de información es víctima. También hay amenazas causadas por las personas , bien errores o bien ataques intencionados.
  • 4. Las políticas de seguridad son las prácticas, procedimientos o mecanismos que ayudan a reducir el riesgo. Políticas de seguridad
  • 5.  
  • 6. Gracias a este análisis de riesgos conoceremos el impacto económico de un fallo de seguridad y la probabilidad realista de que este ocurra .
  • 7. Por ejemplo, imaginemos que una organización tiene un servidor que contiene información definida como de bajo valor.
  • 9.  
  • 10.  
  • 11.  
  • 12. El objetivo principal de este proceso es establecer el marco general de referencia para todo el análisis. Esta etapa incluye la estimación de: Personal técnico: Personas cuya función es recabar la información y establecer las medidas necesarias para cumplir con el análisis. Usuarios: Son aquellas de quienes se recogerá la información dentro de la organización Recursos económicos necesarios para la ejecución. Definir los objetivos del proceso de análisis de riesgos. Tiempo estimado para realizar el análisis y elaborar las políticas. Podría ser con un diagrama de Gantt
  • 13. Estimación del tiempo: debe ser realizado utilizando el Diagrama de Gantt, definiendo el tiempo necesario que se tomara el equipo en cada etapa o fase.
  • 14. El entregable de esta etapa será un documento que describa a profundidad los aspectos antes mencionados, para tal fin se ofrece un modelo como ejemplo. Análisis y gestión de riesgos Etapa 1: Planificación Fecha: Objetivos: Personal: Técnico: Usuarios: Programador(es):______ Gerente:_____ Entrevistador(es):______ Secretaria:____ Entre otros:_____ Docentes: ____ Recursos
  • 15.
  • 16.
  • 17. El entregable de esta etapa es la descripción de cada tipo de activo con su respectiva , función dentro de la organización entre algunos otros aspectos que sean importantes describir. Para ello se puede utilizar el siguiente formato: Análisis de riesgos Etapa 2: Identificación de activos Activo #: _____ Tipo de activo Físico: ____ Lógico:____ Nombre: Descripción:
  • 18. Tipo de amenaza: Tipos de activos: Dimensiones: Descripción: Tipo de activo: Amenazas: Dimensiones: Descripción:
  • 19. Cuando hablamos de las dimensiones, hacemos memoria y recordamos los principios de la seguridad de la información. Ellas son características o atributos que hacen valioso un activo. Las dimensiones se utilizan para valorar las consecuencias de la materialización de una amenaza. La valoración que recibe un activo en una cierta dimensión es la medida del perjuicio para la organización si el activo se ve dañado en dicha dimensión. Ellas son: Autenticidad Confidencialidad A ellos agregamos : Trazabilidad del servicio Integridad Trazabilidad de los datos. Disponibilidad
  • 20. Llevándolas a la realidad, las dimensiones en un activo, las podemos definir así: • su autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace o ha hecho cada cosa? Esta valoración es típica de servicios (autenticidad del usuario) y de los datos (autenticidad de quien accede a los datos para escribir o, simplemente, consultar) • su confidencialidad: ¿qué daño causaría que lo conociera quien no debe? Esta valoración es típica de datos. • su integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto? Esta valoración es típica de los datos, que pueden estar manipulados, ser total o parcialmente falsos o, incluso, faltar datos. • su disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo? Esta valoración es típica de los servicios.
  • 21. Ahora bien, en sistemas dedicados a la administración electrónica o al comercio electrónico, el conocimiento de los usuarios es fundamental para poder prestar el servicio correctamente y poder perseguir los fallos (accidentales o deliberados) que pudieran darse. En estos activos, además de la autenticidad, interesa calibrar la: • la trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se le presta tal servicio? O sea, ¿quién hace qué y cuándo? • la trazabilidad del acceso a los datos: ¿qué daño causaría no saber quién accede a qué datos y qué hace con ellos?
  • 22. A continuación vemos un ejemplo sobre la determinación de las amenazas: Desastres naturales: Sucesos que pueden ocurrir sin intervención de los seres humanos como causa directa o indirecta. Tipo de amenaza: Fuego Tipos de activos: Computadoras Redes de comunicación Soportes de información Equipamiento auxiliar Instalaciones Dimensiones: Disponibilidad Descripción: Incendio: Posibilidad de que el fuego acabe con los recursos del sistema. En el material de apoyo encontrarán ejemplos sobre las amenazas más comunes y las dimensiones afectadas
  • 23.  
  • 24.
  • 25. En el material de apoyo se describe la escala y los criterios los criterios asociados.
  • 26. Escala de valoración de riesgos : Valor Criterio 10 Muy alto Daño muy grave a la organización 7-9 alto Daño grave 4-6 medio Daño importante 1-3 bajo Daño menor 0 despreciable irrelevante
  • 27. El análisis de los riesgos es un paso importante para implementar la seguridad de la información. Se realiza para detectar los riesgos a los cuales están sometidos los activos en una organización, para saber cuál es la probabilidad de que una amenaza se concrete. La relación que existe entre la amenaza y el valor del riesgo, es la condición principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la corrección de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un análisis de riesgos.
  • 28. A continuación se les hará entrega de un material, contentivo de casos de estudios con el objetivo de que sea analizados y se realicen algunas reflexiones.
  • 29.