A NÁLISIS DE R IESGOS Tercer Corte. I NTRODUCCIÓN Cada día va en aumento la cantidad de casos de incidentes relacionados con la seguridad de los sistemas.

Slides:



Advertisements
Presentaciones similares
CONTENIDOS 2. Objetivos de la seguridad informática
Advertisements

DESARROLLANDO EL PLAN DE TRABAJO
RESUMEN La seguridad no es un producto, es un proceso continuo que debe ser controlado, gestionado y monitorizado. Información que necesitamos de forma.
ADMINISTRAR EL DESEMPEÑO Y LA CAPACIDAD
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
También conocido como Diseño Lógico Rodrigo Salvatierra Alberú.
Control Interno Informático. Concepto
NORMALIZACIÓN ISO 9000: GESTION DE LA CALIDAD.
Introducción a servidores
Conceptos generales metodología levantamiento de procesos
CONTROL DE CALIDAD.
REQUISTOS DE LA CERTIFICACIÓN.
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
SALUD OCUPACIONAL Y SISTEMAS DE GESTIÓN EN SEGURIDAD
Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Introducción a los Sistemas de Gestión de la Calidad
Universidad de Buenos Aires Facultad de Ciencias Económicas
Introducción a la Seguridad de la información
Evaluación de Productos
ESCUELA POLITÉCNICA DEL EJÉRCITO
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
Ciclo de vida de la información histórica INEGI – Aguascalientes 2008.
Tema 1 – Adopción de pautas de seguridad informática
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
Situaciones Detectadas en la Entidad…
Se viven nuevos escenarios
“Especificación de Requerimientos”
Auditoría de Sistemas y Software
Requerimientos /Metas:
SEGURIDAD DE REDES ALEJANDRO ZAMBRANO CEDENO. La seguridad informática consiste en asegurar los recursos del sistema de información (material informático.
DE SEGURIDAD INFORMÁTICA.
Seguridad Informática
EVALUACION DE NIVELES DE SEGURIDAD DEL CENTRO DE CÓMPUTO
Gestión de la Continuidad del negocio BS BCI
EMPRESA SOCIAL DEL ESTADO HOSPITAL EL CARMEN DEL MUNICIPIO DE AMALFI POLÍTICA DE ADMINISTRACIÓN DEL RIESGO (Resolución 182 de 2008) EMPRESA SOCIAL DEL.
Mauricio Rodríguez Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
SEGURIDAD DE LA INFORMACIÓN
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
Andrés Felipe Matías Julieta Sánchez Maritza Reales Ingrid Parra Mauricio Rodríguez Tecnólogo en Gestión Administrativa Ficha: SENA Centro de Industria.
DOCUMENTACIÓN DEL SISTEMA DE GESTIÓN DE LA CALIDAD
Diseño De Sistemas Catedrático: Ing. Ezequiel Santillán A. Miércoles, Febrero09, 2011 T í t u l o: ANALISIS DE SISTEMAS (REQUERIMIENTOS)
Academia Latinoamericana de Seguridad Informática Módulo 2
Políticas de defensa en profundidad: - Defensa perimetral
LOS SISTEMAS DE INFORMACION COMPUTARIZADOS
Ing. Ana Elena Murgas Vargas
GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION
SGSI: Sistemas de Gestión de la Seguridad de la Información
UNIVERSIDAD TECNOLÓGICA ECOTEC. ISO 9001: Lucía Castro- Víctor Cabezas- Diana Checa UNIVERSIDAD ECOTEC Ethical Hacking para ATM’s Lucía Castro Víctor.
ADMINISTRACIÓN DE REDES Análisis de Tráfico. Es el proceso de capturar tráfico de la red y de examinarlo de cerca para determinar qué está sucediendo.
TECNOLOGÍA DE LA INFORMACIÓN
Seguridad Web Jaramillo Jorge Suarez Arnold. INTRODUCCIÓN Hasta el momento, se ha presentado un Web que ofrece un acceso abierto a un conjunto de información.
TIPOS DE AUDITORÍAS EN SISTEMAS DE INFORMACIÓN
Programa de Administración de Riesgos.
Medidas de seguridad. Javier Rodríguez Granados. Introducción Todas las empresas, independientemente de su tamaño, organización y volumen de negocio,
Procesos itil Equipo 8.
Nombre: Hebert Rangel Gutierrez Matricula: Materia: Base De datos Cuatrimestre: 3er Profesor: Nasheli López Bautista Carrera: Licenciatura en.
Auditoria Computacional
AUTOVALORACION DEL CONTROL Algunos Aspectos de Interés Oficina de Control Interno Diciembre de 2014 Fuente: Guía Autovaloración del Control DAFP y Cartilla.
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
ANGIE PAOLA SOLANO CASTIBLANCO DAR SOPORTE A LOS PROCESOS NORMAS ISO DOC. JOHANA LÓPEZ CHAVEZ SENA 2010.
ARNULFO CIFUENTES OLARTE Abogado
Asesoría Relacionada a la Seguridad. Balance de Seguridad.
ADMINISTRACIÓN DE REDES Planes de Migración. Migración En tecnología de información y comunicación, la migración es el proceso de la transferencia desde.
ANALISIS SEGURO DE TRABAJO (AST)
ESTÁNDAR ISO/IEC INTERNACIONAL 27001
EI, Profesor Ramón Castro Liceaga IV. AREAS DE EVALUACIÓN DE LA AUDITORIA EN INFORMÁTICA. UNIVERSIDAD LATINA (UNILA)
PLAN DE CONTINGENCIA Y EMERGENCIA
Programa Sobre Procesos de Negocios SCM y Logística. Integración de procesos que permite a empresas en crecimiento implementar las mejores prácticas en.
UNIVERSIDAD AUTONOMA SAN FRANCISCO GESTION DE CALIDAD I Ing. Maria del Pilar Vera Prado.
Transcripción de la presentación:

A NÁLISIS DE R IESGOS Tercer Corte

I NTRODUCCIÓN Cada día va en aumento la cantidad de casos de incidentes relacionados con la seguridad de los sistemas de información que comprometen los activos de las empresas, Lo que antes era ficción, en la actualidad se convierte, en muchos casos, en realidad. Las amenazas siempre han existido, la diferencia es que ahora, el enemigo es más rápido, más difícil de detectar y mucho más atrevido. Es por esto, que toda organización debe estar en alerta y saber implementar sistemas de seguridad basados en un análisis de riesgos para evitar o minimizar las consecuencias no deseadas. Sin embargo es importante enfatizar que antes de implementar la seguridad, es fundamental conocer con detalle el entorno que respalda los procesos de negocio de las organizaciones en cuanto a su composición y su criticidad para priorizar las acciones de seguridad de los procesos clave de negocio más críticos y vinculados al logro de los objetivos de la organización.

A NÁLISIS DE R IESGOS Es una actividad centrada en la identificación de fallas de seguridad que evidencien vulnerabilidades que puedan ser explotadas por amenazas, provocando impactos en los negocios de la organización. Es una actividad de análisis que pretende, a través del rastreo, identificar los riesgos a los cuales los activos se encuentran expuestos. Encontrar la consolidación de las vulnerabilidades para identificar los pasos a seguir para su corrección. Identificar las amenazas que pueden explotar esas vulnerabilidades y de esta manera se puede llegar a su corrección o eliminación. Identificar los impactos potenciales que pudieran tener los incidentes y de esta forma aprovechar las vulnerabilidades encontradas. El análisis de riesgos es … …además una actividad que tiene por resultado: Determinar las recomendaciones para que las amenazas sean corregidas o reducidas. Otro punto importante a considerar en la realización del análisis de riesgos es la relación costo-beneficio. Este cálculo permite que sean evaluadas las medidas de seguridad con relación a su aplicabilidad y el beneficio que se agregará al negocio.

M OMENTO DEL A NÁLISIS DE R IESGOS El análisis de riesgos puede ocurrir antes o después de la definición de una política de seguridad. Según la norma internacional BS/ISO/IEC 17799, esta actividad puede ser hecha después de la definición de la política. El propósito de tomar en cuenta una política de seguridad en el análisis se debe a varias razones: La política de seguridad delimita el alcance del análisis. Permite ser selectivo en la verificación de activos que la política establece como vulnerables. El análisis toma en cuenta la lista de amenazas potenciales que la misma política contempla.

P OLÍTICAS DE S EGURIDAD Es una medida que busca establecer los estándares de seguridad a ser seguidos por todos los involucrados con el uso y mantenimiento de los activos. Es una forma de suministrar un conjunto de normas internas para guiar la acción de las personas en la realización de sus trabajos. Es el primer paso para aumentar la conciencia de la seguridad de las personas, pues está orientada hacia la formación de hábitos, por medio de manuales de instrucción y procedimientos operativos. Sin embargo, la realización del análisis de riesgos como primer elemento de la acción de seguridad, es un hecho determinante para procesos críticos en que son analizadas todas las amenazas. De esta manera son considerados y analizados todos los activos de la organización, sea por muestreo o en su totalidad, para que estén libres de vulnerabilidades con el propósito de reducir los riesgos.

Á MBITOS DEL A NÁLISIS DE R IESGOS El análisis de riesgos realizado en el entorno tecnológico pretende el conocimiento de las configuraciones y de la disposición topológica de los activos de tecnología que componen toda la infraestructura de respaldo de la información para comunicación, procesamiento, tránsito y almacenamiento. Los activos son de tipo aplicación y equipo, sin dejar de considerar también la sensibilidad de las informaciones que son manipulados por ellos. Los usuarios que los utilizan. Ejemplo: La infraestructura que les ofrece respaldo. Los servidores de ficheros, en los que se encuentran la información sobre el producto, un servidor de banco de datos que almacena la información de las cuentas de los clientes del Internet Banking; un ruteador, un servidor de correo electrónico (para envío de estado de cuenta por correo electrónico); un servidor Web, que permite que se hagan consultas al producto por Internet (en sus distintas plataformas: Windows®, Unix ®, Solaris®, etc.), además de los elementos de una red de comunicación para el envío y recepción de la información (como firewall, ruteador, parámetro, conexión, puente, etc.) Tecnológico:

Á MBITOS DEL A NÁLISIS DE R IESGOS El análisis de riesgos también se destina a la comprensión de las maneras en que las personas se relacionan con los activos. Así, es posible detectar cuáles vulnerabilidades provenientes de acciones humanas, se encuentran sometidos los activos, y es posible dirigir recomendaciones para mejorar la seguridad en el trabajo humano y garantizar la continuidad de los negocios de la organización. Este análisis pretende inicialmente identificar vulnerabilidades en los activos de tipo usuario y organización. El nivel de acceso que las personas tienen en la red o en las aplicaciones. Las restricciones y permisos que deben tener para realizar sus tareas con los activos. El nivel de capacitación y formación educativa que necesitan tener acceso para manipularlos, etc. Ejemplo: Las personas que hacen uso del Internet, Banking; quienes dan soporte a los usuarios o administran los activos en la organización, las responsables de la planeación y coordinación del trabajo, los equipos que actúan en la definición de las políticas y procedimientos para la realización del proceso de negocio. Humano:

Á MBITOS DEL A NÁLISIS DE R IESGOS Análisis de los flujos de información de la organización y la manera en que la información transita de un área a otra, cómo son administrados los recursos en relación a la organización y manutención. De esta manera, será posible identificar los eslabones entre las actividades y los insumos necesarios para su realización con el objetivo de identificar las vulnerabilidades que puedan afectar la confidencialidad, la disponibilidad y la integridad de la información y en consecuencia, del negocio de la organización. En este ámbito, el activo de enfoque principal es del tipo usuario e información. Identificar a las personas involucradas en el flujo de información, es posible evaluar la necesidad real de acceso que ellas tienen a los activos. Evaluar el impacto proveniente del uso indebido de la información por personas no calificadas. Ejemplo: La estructura organizacional humana que ha sido establecida para la realización del proceso de negocio. Podemos considerar, en Internet, la definición de los equipos para la manutención y garantía de la continuidad de los activos de tecnología del proceso; las personas y el flujo de actividades relacionadas a la atención a los clientes; el flujo necesario de información para la realización de una transacción por el banco virtual, etc. Procesos:

Á MBITOS DEL A NÁLISIS DE R IESGOS El análisis físico de seguridad pretende identificar en la infraestructura física del ambiente en que los activos encuentran vulnerabilidades que puedan traer algún perjuicio a la información y a todos los demás activos. El enfoque principal de este ámbito de análisis son los activos de tipo organización, pues son los que proveen el soporte físico al entorno en que está siendo manipulada la información. Identificar posibles fallas en la localización física de los activos tecnológicos. Evaluar el impacto de accesos indebidos a las áreas en donde se encuentran activos tecnológicos. Evaluar el impacto de desastres ambientales en la infraestructura de tecnología de la empresa.. El ambiente operativo que incluye las actividades del producto Internet Banking, como los locales de trabajo de los equipos involucrados, los locales de almacenamiento de la información crítica, las agencias o puestos de atención al cliente, las centrales de proceso de información como los centros de proceso de datos, las salas de servidores, las centrales de procesamientos por teléfono, la sala caja fuerte, etc. Físico:

La definición del equipo humano es muy importante, tanto para dimensionar la fuerza de trabajo necesaria para la realización del análisis de riesgos (analistas de seguridad), como para aquellos que se encargaran de entrevistar a las personas involucradas en procesos de negocio (entrevistadores) que proveerán de información vital para el proyecto de análisis de riesgos; y además, serán los responsables por el acceso a los activos para la recolección de información. Es necesario que las personas que integren en equipo de analistas sean sólo personas de confianza:

A NÁLISIS T ÉCNICO Son la forma con que estas están configuradas para evitar que los usuarios (con frecuencia de forma inconsciente) permiten la acción de amenazas. A través de éste se hacen las colectas de información sobre la forma en que los activos: fueron configurados, estructurados en la red de comunicación, y la forma en que son administrados por sus responsables. En el proceso de análisis técnico de seguridad, diversos tipos de activos son considerados, según sea el ámbito definido al inicio del proyecto, con el propósito de monitorear las vulnerabilidades presentes a través de errores de configuración o desconocimiento de las posibilidades de ataque por amenazas potenciales. Dentro de los activos tecnológicos analizados técnicamente, podemos listar los siguientes: Estaciones de trabajo. Servidores y Redes Bases de Datos

A NÁLISIS DE S EGURIDAD F ÍSICA El análisis de seguridad física se inicia con la visita técnica en los entornos en donde se realizan actividades relacionadas directa o indirectamente con los procesos de negocio que están siendo analizados, a los cuales se deben atribuir soluciones de seguridad. Estos ambientes deben ser observados con relación a lo siguiente: Disposición organizativa Sistemas de combate a incendio Control de acceso Exposición a clima y medio ambiente Topografía

C ONCLUSIONES El análisis de riesgos tiene como resultado los informes de recomendaciones de seguridad, para que la organización pueda evaluar los riesgos a que está sometida y conocer cuáles son los activos de los procesos de negocio que están más susceptibles a la acción de amenazas a la confidencialidad, integridad y disponibilidad de la información utilizada para alcanzar los objetivos intermedios o finales de la organización.

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.