Gestión de riesgos

6,069 views

Published on

Fases de la Gestión de Riesgos en la Información: Análisis, Clasificación, Reducción y Control del Riesgo.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
6,069
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
108
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Gestión de riesgos

  1. 1. Por: Karla del Rosario Martín Castillo
  2. 2. Es la probabilidad de ocurrencia de un evento o condición indeseable y la significancia de la consecuencia de dicha ocurrencia. Puede referirse a numerosos tipos de amenazas causadas por: el medio ambiente, la tecnología y los seres humanos. <ul><li>Riesgos Conocidos : </li></ul><ul><li>Aquellos que han sido identificados y analizados. Es posible establecer un plan específico para atenderlos. </li></ul><ul><li>Riesgos Desconocidos : </li></ul><ul><li>No pueden ser administrados, no obstante, pueden atenderse mediante un plan de contingencia basado en experiencias. </li></ul>Por: Karla del Rosario Martín Castillo
  3. 3. <ul><li>Es el proceso sistemático para manejar la incertidumbre, es decir, la posibilidad de que ocurra un riesgo o no. </li></ul><ul><li>Es un método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo. </li></ul><ul><li>Se basa en la noción de que los riesgos deben tratarse de forma proactiva, que la gestión de riesgos forma parte de un proceso formal y sistemático que debe considerarse como una iniciativa positiva. </li></ul><ul><li>Busca anticipar posibles perdidas accidentales con el diseño e implementación de procedimientos que minimicen la ocurrencia de pérdidas o el impacto financiero de las pérdidas que puedan ocurrir. </li></ul>Por: Karla del Rosario Martín Castillo
  4. 4. <ul><li>Se basa en los siguientes aspectos: </li></ul><ul><li>La evaluación de los riesgos inherentes a los procesos informáticos. </li></ul><ul><li>La evaluación de las amenazas ó causas de los riesgos. </li></ul><ul><li>Los controles utilizados para minimizar las amenazas a riesgos. </li></ul><ul><li>La asignación de responsables a los procesos informáticos. </li></ul><ul><li>La evaluación de los elementos del análisis de riesgos. </li></ul>Por: Karla del Rosario Martín Castillo
  5. 5. <ul><li>Cuenta con 4 fases basadas en políticas de seguridad , normas y reglas institucionales , que tienen la finalidad de potencializar las capacidades de una empresa disminuyendo las vulnerabilidades y limitando las amenazas con el resultado de reducir el riesgo. </li></ul><ul><li>Análisis </li></ul><ul><li>Clasificación </li></ul><ul><li>Reducción </li></ul><ul><li>Control </li></ul>Por: Karla del Rosario Martín Castillo
  6. 6. En esta fase lo que se busca es conocer el sistema que se desea proteger conociendo sus vulnerabilidades y las amenazas a las que está expuesto con la finalidad de conocer la probabilidad de que un riesgo se materialice. Las amenazas empiezan a existir cuando están presentes las vulnerabilidades y en consecuencia a ellas da pie a los incidentes, hechos que se desea que sean evitados puesto que genera resultados negativos conocidos como impactos . Por: Karla del Rosario Martín Castillo
  7. 7. Durante este proceso se llevan a cabo los siguientes pasos: <ul><li>Definir los activos informáticos a analizar (Confidencial, Privado, Sensitivo, Público). </li></ul><ul><li>Identificar las amenazas y determinar la probabilidad de ocurrencia de ellas (Baja, Media, Alta). </li></ul><ul><li>Determinar el impacto de las amenazas (Pérdida de la información, personas ajenas tiene acceso a la información, la información ha sido manipulada o está incompleta. </li></ul><ul><li>Recomendar controles que disminuyan la probabilidad de los riesgos. </li></ul>Por: Karla del Rosario Martín Castillo
  8. 8. Por: Karla del Rosario Martín Castillo
  9. 9. Al definir las medidas de protección, debemos encontrar un equilibrio entre su funcionalidad (cumplir el objetivo) y el esfuerzo económico : suficientes, ajustados y optimizados. Evitar escasez de protección, nos deja en peligro que pueda causar daño Evitar exceso de medidas y procesos de protección, puede paralizar procesos operativos e impedir el cumplimiento de la misión. Por: Karla del Rosario Martín Castillo
  10. 10. Establece e implementa las medidas de protección para la reducción de los riesgo encontrados en la fase del análisis, además sensibiliza y capacita los usuarios conforme a las medidas. Divididos en: Por: Karla del Rosario Martín Castillo Construcciones del edificio, planta eléctrica, control de acceso, antivirus, datos cifrados, contraseñas inteligentes, etc. Medidas físicas y técnicas Contratación Capacitación Sensibilización Medidas Personales Normas y Reglas Seguimiento de control Auditoría Medidas Organizativas
  11. 11. <ul><li>Consideraciones sobre las Medidas de Protección: </li></ul><ul><li>Su fuerza y alcance depende del nivel de riesgo. </li></ul><ul><ul><li>Alto riesgo  Deben evitar el impacto y daño. </li></ul></ul><ul><ul><li>Medio riesgo  Solo mitigan la magnitud del daño. </li></ul></ul><ul><ul><li>2. Se debe verificar su funcionalidad (que cumplan su propósito). </li></ul></ul><ul><ul><li>-Respaldadas y aprobadas por la coordinación. </li></ul></ul><ul><ul><li>-Que no paralicen u obstaculicen los procesos operativos. </li></ul></ul><ul><ul><li>3. Deben estar fundadas en normas y reglas. </li></ul></ul><ul><ul><li>-Integrado en el funcionamiento operativo institucional. </li></ul></ul><ul><ul><li>-Regular su aplicación, control y sanciones por incumplimiento. </li></ul></ul>Por: Karla del Rosario Martín Castillo
  12. 12. <ul><li>Analiza y evalúa el funcionamiento, la efectividad y el cumplimiento de las medidas de protección implementadas en la fase de reducción, para determinar y ajustar las medidas deficientes y sancionar el incumplimiento. </li></ul><ul><li>Debemos: </li></ul><ul><li>Levantar constantemente registros sobre la ejecución de las actividades, los eventos de ataques y sus respectivos resultados y analizarlos frecuentemente. </li></ul><ul><li>Sancionar el incumplimiento y sobrepaso de las normas y reglas, dependiendo de su gravedad. </li></ul><ul><li>Retroalimentar el proceso de la gestión de riesgos con los resultados obtenidos en ocasiones anteriores. </li></ul>Por: Karla del Rosario Martín Castillo
  13. 13. Seguridad de la Información [en línea]. Wikipedia. P ublicado 7 de agosto de 2008, actualizado 10 de octubre de 2011. <http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n> [Consulta 12 de octubre de 2011] Sistema de Administración de riesgos en tecnología informática [en línea]. Autor: Alberto Cancelado González. Publicado 16 de noviembre de 2004. <http://www.monografias.com/trabajos14/riesgosinfor/riesgosinfor.shtml> [Consulta 12 de octubre de 2011] Gestión de riesgos informáticos [en línea]. Autor: Andrea Moreno Avellaneda. Publicado 2 de febrero de 2011. <http://gestionriesgos2011.blogspot.com/2011/02/gestion-de-riesgos-informaticos.html> [Consulta 12 de octubre de 2011] Gestión de riesgo en la seguridad informática [en línea]. Autor: Markus Erb. <http://protejete.wordpress.com/gdr_principal/gestion_riesgo_si/> [Consulta 12 de octubre de 2011] Por: Karla del Rosario Martín Castillo

×