Gestión del riesgo
<ul><li>Definir el enfoque para evaluar los riesgos </li></ul><ul><li>Análisis del Riesgo </li></ul><ul><ul><li>Realizar e...
<ul><li>Establecer una metodología de gestión de riesgos apropiada para el SGSI y las necesidades de la organización. </li...
<ul><li>El análisis de riesgo de TI es el análisis de los activos, sus amenazas, sus riesgos asociados, y como estos se co...
<ul><li>El realizar un análisis del riesgo de TI es un proceso que debe ser cuidadoso y exhaustivo. </li></ul>Análisis de ...
 
<ul><li>Activo </li></ul><ul><li>Un activo es algo que tiene valor o utilidad para la organización, sus operaciones comerc...
<ul><li>Activos de información (datos, manuales de usuario, etc.). </li></ul><ul><li>Documentos de papel (contratos). </li...
Activos de Información
 
<ul><li>Relaciones de dependencia entre los procesos del negocio y los activos de información.  </li></ul><ul><li>Relacion...
 
<ul><li>El término ‘propietario’ identifica a la persona o entidad que tiene la responsabilidad gerencial  aprobada  de co...
<ul><li>El propietario de los activos debe ser responsable por: </li></ul><ul><ul><li>Definir  la clasificación de segurid...
Tasación de activos <ul><li>¿Cómo una pérdida o una falla en un determinado activo afecta la confidencialidad, la integrid...
Amenazas <ul><li>Evento que puede desencadenar un incidente en la organización, produciendo daños o pérdidas materiales o ...
 
 
 
Upcoming SlideShare
Loading in …5
×

Seguridad Auditoria de Sistemas

1,087 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,087
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
61
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seguridad Auditoria de Sistemas

  1. 2. Gestión del riesgo
  2. 3. <ul><li>Definir el enfoque para evaluar los riesgos </li></ul><ul><li>Análisis del Riesgo </li></ul><ul><ul><li>Realizar el inventario de activos </li></ul></ul><ul><ul><li>Identificar amenazas y vulnerabilidades </li></ul></ul><ul><ul><li>Cálculo del riesgo </li></ul></ul><ul><li>Identificar las opciones de tratamiento del riesgo </li></ul>Gestión del riesgo
  3. 4. <ul><li>Establecer una metodología de gestión de riesgos apropiada para el SGSI y las necesidades de la organización. </li></ul><ul><li>Existen muchas metodologías de gestión de riesgos aceptadas internacionalmente; la organización puede optar por una de ellas, hacer una combinación de varias o crear la suya propia. E </li></ul><ul><li>El riesgo nunca es totalmente eliminable -ni sería rentable hacerlo-, por lo que es necesario definir una estrategia de aceptación de riesgo. </li></ul>Enfoque para la gestión del riesgo
  4. 5. <ul><li>El análisis de riesgo de TI es el análisis de los activos, sus amenazas, sus riesgos asociados, y como estos se correlacionan con los procesos del negocio. </li></ul>Análisis de riesgo
  5. 6. <ul><li>El realizar un análisis del riesgo de TI es un proceso que debe ser cuidadoso y exhaustivo. </li></ul>Análisis de riesgo
  6. 8. <ul><li>Activo </li></ul><ul><li>Un activo es algo que tiene valor o utilidad para la organización, sus operaciones comerciales y su continuidad. </li></ul><ul><li>Activo de Información </li></ul><ul><li>Se denominan activos los recursos del sistema de información o relacionados con éste, necesarios para que la organización funcione correctamente y alcance los objetivos propuestos por su dirección. </li></ul>Identificación de activos
  7. 9. <ul><li>Activos de información (datos, manuales de usuario, etc.). </li></ul><ul><li>Documentos de papel (contratos). </li></ul><ul><li>Activos de software (aplicación, software de sistemas, etc.). </li></ul><ul><li>Activos físicos (computadoras, medios magnéticos, etc.). </li></ul><ul><li>Instalaciones </li></ul><ul><li>Personal (clientes, personal). </li></ul><ul><li>Imagen de la compañía y reputación. </li></ul><ul><li>Servicios (comunicaciones, etc.). </li></ul>Activos de Información
  8. 10. Activos de Información
  9. 12. <ul><li>Relaciones de dependencia entre los procesos del negocio y los activos de información. </li></ul><ul><li>Relaciones de dependencia entre activos de información. </li></ul>
  10. 14. <ul><li>El término ‘propietario’ identifica a la persona o entidad que tiene la responsabilidad gerencial aprobada de controlar la producción, desarrollo, mantenimiento, uso y seguridad de los activos. </li></ul><ul><li>El término ‘propietario’ no significa que la persona tenga en realidad derechos de propiedad sobre el activo. </li></ul>Propietario de los activos
  11. 15. <ul><li>El propietario de los activos debe ser responsable por: </li></ul><ul><ul><li>Definir la clasificación de seguridad </li></ul></ul><ul><ul><li>Los derechos de acceso a los activos, y </li></ul></ul><ul><ul><li>Establecer los sistemas de control. </li></ul></ul><ul><ul><li>Revisar periódicamente los derechos de acceso y la clasificación de seguridad. </li></ul></ul><ul><ul><li>Definir, documentar e implementar reglas para el uso aceptable de activos, describiendo acciones permitidas y prohibidas en el uso cotidiano de los activos. Las personas que utilizan los activos, deben estar conscientes de estas reglas como parte de su descripción del puesto. </li></ul></ul>Propietario de los activos
  12. 16. Tasación de activos <ul><li>¿Cómo una pérdida o una falla en un determinado activo afecta la confidencialidad, la integridad y la disponibilidad? </li></ul>Niveles de afectación
  13. 17. Amenazas <ul><li>Evento que puede desencadenar un incidente en la organización, produciendo daños o pérdidas materiales o inmateriales en sus activos. </li></ul>

×