La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Análisis y Gestión de Riesgos

Publicada porAmaranto Lovera Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Análisis y Gestión de Riesgos"— Transcripción de la presentación:

1 Análisis y Gestión de Riesgos
en un Sistema Informático Resumen

2 Análisis y Gestión de riesgos en un sistema informático.
Sistema para evaluar posibles riesgos del sistema informático y controlar cualquier posible amenaza : Detección de Amenazas - Intencionadas - No intencionadas - Naturales Análisis y detección de vulnerabilidades del sistema de información. - Impacto en los activos afectados Definición e implantación de salvaguardas - Físicas - Técnicas - Administrativas

3 PRINCIPALES CONCEPTOS Y DEFINICIONES EL ANÁLISIS Y GESTIÓN DE RIESGOS:
PARA ESTUDIAR EL ANÁLISIS Y GESTIÓN DE RIESGOS: Recursos del sistema Amenazas Vulnerabilidades Incidentes de seguridad Impactos Riesgos Defensas, salvaguardas o medidas de seguridad Transferencia del riesgo a terceros

4 Los recursos son los activos a proteger del sistema informático de la organización.
Recursos hardware :ordenadores, etc. Recurso software: sistemas operativos, etc. Elementos de comunicaciones: routers, etc. Información manipulada a través del sistema: activo de naturaleza intangible Locales y oficinas donde se ubican recursos físicos Personas que directa o indirectamente se benefician del sistema Imagen y reputación se la organización RECURSOS DEL SISTEMA

5 Evento accidental o intencionado que puede causar daño en el sistema informático.
Amenazas naturales: inundación, etc. Amenazas de agentes externos: virus informático, etc. Amenazas de agentes internos: mala formación de los empleados, etc. Según la intencionalidad de la amenaza destacamos: Accidentes Errores Actualizaciones malintencionadas AMENAZAS

6 INCIDENTES DE SEGURIDAD
Debilidad en el sistema informático que pueda permitir a las amenazas causarle daños y producir pérdidas en la organización. VULNERABILIDADES Son cualquier evento que tenga o pueda tener como resultado la interrupción de los servicios suministrados por un sistema informático, conllevando a posibles pérdidas físicas, de activos o financieras. Un incidente es la materialización de una amenaza. INCIDENTES DE SEGURIDAD

7 ESCALA PROPUESTA PARA MEDIR IMPACTO DEL DAÑO EN LA ORGANIZACIÓN
Impacto es la medición y la valoración del daño que podría producir a la organización un incidente de seguridad. ESCALA PROPUESTA PARA MEDIR IMPACTO DEL DAÑO EN LA ORGANIZACIÓN ALTO Pérdida o inhabilitación de recursos críticos. Interrupción de procesos de negocio. Daños en la imagen y reputación de la organización. Robo o revelación de información estratégica o especialmente protegida. MODERADO Pérdida o inhabilitación de recursos críticos, pero cuentan con elementos de respaldo. Caída notable en el rendimiento de procesos de negocio o en la actividad. Robo o revelación de información confidencial, pero no considerada estratégica. BAJO Pérdida o inhabilitación de recursos secundarios. Disminución del rendimiento de los procesos de negocio. Robo o revelación de información interna no publicada. IMPACTOS

8 Riesgo es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informático, causando un determinado impacto en la organización. Herramientas y metodologías que permiten evaluar el riesgo OCTAVE => análisis y evaluación de riesgos. RiskWatch => software de evaluación del riesgo que comtempla los contoles precistos por la norma ISO COBRA => como el anterior. RIESGOS

9 DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD
Es cualquier medio empleado para eliminar o reducir un riesgo. Su objetivo es reducir las vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas y nivel de impacto en la organización. Medida de seguridad activa => cualquier medida usada para anular o reducir riesgos de una amenaza. Se clasifican en: Medidas de prevención (aplicadas antes del incidente). Son: Autenticación de usuarios Control de accesos a los recursos Encriptación de datos sensibles La formación de usuarios, etc. Medidas de detección (aplicadas durante el incidente). Son: Sistema Detección de Intrusiones (IDS) Herramientas y procedimientos para el análisis de los “logs”(registros de la actividad de los equipos. DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD

10 DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD
Medida de seguridad pasiva => reduce el impacto cuando se produzca un incidente de seguridad. También se conoce como medidas de corrección (aplicadas después del incidente). Son: Copias de seguridad El plan de respuesta a incidentes y de continuidad del negocio, etc. Por otro lado: Defensas físicas => control de acceso físico y condiciones ambientales. Defensas lógicas => protección mediante herramientas y técnicas informáticas: autenticación de usuarios, control de acceso a los ficheros, encriptación de los datos sensibles, etc. NIVEL DE RIESGO RESIDUAL => riesgo que la organización está dispuesta a aceptar. Manteniendo un equilibrio entre el esfuerzo técnico y económico. DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD

11 TRANSFERENCIA DEL RIESGO A TERCEROS
Se trata de la contratación de una póliza de seguros especializada o bien a través de la subcontratación de un proveedor especializado en seguridad informática. TRANSFERENCIA DEL RIESGO A TERCEROS

Descargar ppt "Análisis y Gestión de Riesgos"

Presentaciones similares

RESUMEN La seguridad no es un producto, es un proceso continuo que debe ser controlado, gestionado y monitorizado. Información que necesitamos de forma.

RESUMEN La seguridad no es un producto, es un proceso continuo que debe ser controlado, gestionado y monitorizado. Información que necesitamos de forma.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Seguridad Definición de seguridad informática. Terminología.

Seguridad Definición de seguridad informática. Terminología.
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
Www.iso27002.es.

XXII Congreso Latinoamericano de Seguridad Bancaria

XXII Congreso Latinoamericano de Seguridad Bancaria
Análisis y gestión de riesgos en un Sistema Informático

Análisis y gestión de riesgos en un Sistema Informático
SEGURIDAD INFORMÁTICA

SEGURIDAD INFORMÁTICA
ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS

ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS
UPC – 2010 021 SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.

UPC – SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Guía para la evaluación de seguridad en un sistema

Guía para la evaluación de seguridad en un sistema
Seguridad de los sistemas informáticos

Seguridad de los sistemas informáticos
Auditoria Informática Unidad II

Auditoria Informática Unidad II
Metodologías de control interno, seguridad y auditoría informática

Metodologías de control interno, seguridad y auditoría informática
Análisis y Gestión de riesgos en un sistema informático

Análisis y Gestión de riesgos en un sistema informático
Introducción a la Seguridad de la información

Introducción a la Seguridad de la información
ESCUELA POLITECNICA DEL EJERCITO

ESCUELA POLITECNICA DEL EJERCITO
Instituto de Protección Civil para el Manejo Integral de Riesgos de Desastres El Manejo Integral de Riesgos de Desastre.

Instituto de Protección Civil para el Manejo Integral de Riesgos de Desastres El Manejo Integral de Riesgos de Desastre.
SISTEMAS DE SEGURIDAD INFORMÁTICA ING. HECTOR A. HERNANDEZ.

SISTEMAS DE SEGURIDAD INFORMÁTICA ING. HECTOR A. HERNANDEZ.

Presentaciones similares

Anuncios Google