Análisis y Gestión de Riesgos

Slides:



Advertisements
Presentaciones similares
RESUMEN La seguridad no es un producto, es un proceso continuo que debe ser controlado, gestionado y monitorizado. Información que necesitamos de forma.
Advertisements

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Seguridad Definición de seguridad informática. Terminología.
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

XXII Congreso Latinoamericano de Seguridad Bancaria
Análisis y gestión de riesgos en un Sistema Informático
SEGURIDAD INFORMÁTICA
ISO INTEGRANTES: NAYIB GELO CARLOS CASSINELLI DANIEL VILLACIS
UPC – SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.
Segunda Jornada Nacional de Seguridad Informática ACIS 2002
Guía para la evaluación de seguridad en un sistema
Seguridad de los sistemas informáticos
Auditoria Informática Unidad II
Metodologías de control interno, seguridad y auditoría informática
Análisis y Gestión de riesgos en un sistema informático
Introducción a la Seguridad de la información
ESCUELA POLITECNICA DEL EJERCITO
Instituto de Protección Civil para el Manejo Integral de Riesgos de Desastres El Manejo Integral de Riesgos de Desastre.
SISTEMAS DE SEGURIDAD INFORMÁTICA ING. HECTOR A. HERNANDEZ.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
Sistemas de Gestión de Seguridad de la Información
Prevención de desastres en las bibliotecas VI Simposio Universidad Rafael Landivar Guatemala.
GESTION DEL RIESGO – CLASIFICACION POR PROCESOS
Diagnóstico TI. El Diagnóstico o Auditoría de Tecnología de Información (TI) es el proceso de evaluación y recolección de evidencias de los Sistemas de.
Presentación de la Norma Técnica de Seguridad de la Información
© Deloitte Todos los derechos reservados Estudio sobre Seguridad de la Información en los Medios de Prensa Escrita Zaragoza, 25 de noviembre de 2005.
Fases de la Auditoria Informática
SEGURIDAD INFORMÁTICA
Business Plan 2010 – O7TI Page 1 Client name - Event - Presentation title Page 1.
Seguridad y control Unidad V Material de apoyo “activos”
METODOLOGÍA ADMINISTRACIÓN DE RIESGOS
Riesgos MAGERIT: Metodología de análisis y gestión de riesgos de los sistemas de información Se estructura en siete guías Guía de aproximación a la seguridad.
SEGURIDAD INFORMATICA
UNIVERSIDAD AUTóNOMA BENITO JUAREZ DE OAXaCA
Resumen análisis y gestión de riesgos Marcos Castro Franco.

EVALUACION DE NIVELES DE SEGURIDAD DEL CENTRO DE CÓMPUTO
Gestión de la Continuidad del negocio BS BCI
CONTROL INTERNO - COMPONENTES Valoración de Riesgos Profesora: Guillermina López M. Noviembre, 2010.
SEGURIDAD INFORMÀTICA Presentado por: YAMILETH ORTÌZ
Ailyn Lopez pitty Leda Sequeira picado Kevin barquero irola
Análisis y Gestión de Riesgos en un Sistema Informático.
Analisis y Gestion de Riesgos en un Sistema Informatico
Administración lógica y física de la seguridad en una red computacional Docente: Hector Salazar Robinson
NCH2777 Gestión de la Continuidad del Negocio Alumno: Patricia Linconao Fecha:
Ing. Ana Elena Murgas Vargas
GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION
SGSI: Sistemas de Gestión de la Seguridad de la Información
Proveedores de servicios externos
 
©Copyright 2013 ISACA. Todos los derechos reservados Riesgo residual Los riesgos que permanecen aun después de que se han diseñado controles.
Medidas de seguridad Gabriel Montañés León.
Análisis y Gestión de Riesgos en un Sistema Informático
Medidas de seguridad. Javier Rodríguez Granados. Introducción Todas las empresas, independientemente de su tamaño, organización y volumen de negocio,
AUDITORIA INFORMATICA
Procesos itil Equipo 8.
Tema 1 – Adopción de pautas de seguridad informática
DIRECCION NACIONAL DE PROTECCION CIVIL MINISTERIO DE SEGURIDAD.
VIRUS Características principales
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
Nombre: Arianne Calderón Boutier Materia: Gerencia de Procesos.
UNIVERSIDAD MANUELA BELTRAN Facultad de Ingeniería
SEGURIDAD DE LA INFORMACION Y SEGURIDAD DE LA EMPRESA Presentado por: Alejandra Gómez Benítez Yuly Alexandra contreras Karen Geraldine Rodríguez.
SEGURIDAD DE LA INFORMACION Y SEGURIDAD DE LA EMPRESA Presentado por: Alejandra Gómez Benítez Yuly Alexandra contreras Karen Geraldine Rodríguez.
Angel Rodriguez Carlos Enrique Calderón García Carlos Felipe
Este documento es propiedad de Servicios Profesionales en Recursos Humanos y Tecnologías S.A. de C.V., queda prohibida su reproducción.
Seguridad de la información en las aplicaciones de facturación electrónica.
PLAN DE CONTINGENCIA Y EMERGENCIA
Presentación de la Norma Técnica de Seguridad de la Información.
Transcripción de la presentación:

Análisis y Gestión de Riesgos en un Sistema Informático Resumen

Análisis y Gestión de riesgos en un sistema informático. Sistema para evaluar posibles riesgos del sistema informático y controlar cualquier posible amenaza : Detección de Amenazas - Intencionadas - No intencionadas - Naturales Análisis y detección de vulnerabilidades del sistema de información. - Impacto en los activos afectados Definición e implantación de salvaguardas - Físicas - Técnicas - Administrativas

PRINCIPALES CONCEPTOS Y DEFINICIONES EL ANÁLISIS Y GESTIÓN DE RIESGOS: PARA ESTUDIAR EL ANÁLISIS Y GESTIÓN DE RIESGOS: Recursos del sistema Amenazas Vulnerabilidades Incidentes de seguridad Impactos Riesgos Defensas, salvaguardas o medidas de seguridad Transferencia del riesgo a terceros

Los recursos son los activos a proteger del sistema informático de la organización. Recursos hardware :ordenadores, etc. Recurso software: sistemas operativos, etc. Elementos de comunicaciones: routers, etc. Información manipulada a través del sistema: activo de naturaleza intangible Locales y oficinas donde se ubican recursos físicos Personas que directa o indirectamente se benefician del sistema Imagen y reputación se la organización RECURSOS DEL SISTEMA

Evento accidental o intencionado que puede causar daño en el sistema informático. Amenazas naturales: inundación, etc. Amenazas de agentes externos: virus informático, etc. Amenazas de agentes internos: mala formación de los empleados, etc. Según la intencionalidad de la amenaza destacamos: Accidentes Errores Actualizaciones malintencionadas AMENAZAS

INCIDENTES DE SEGURIDAD Debilidad en el sistema informático que pueda permitir a las amenazas causarle daños y producir pérdidas en la organización. VULNERABILIDADES Son cualquier evento que tenga o pueda tener como resultado la interrupción de los servicios suministrados por un sistema informático, conllevando a posibles pérdidas físicas, de activos o financieras. Un incidente es la materialización de una amenaza. INCIDENTES DE SEGURIDAD

ESCALA PROPUESTA PARA MEDIR IMPACTO DEL DAÑO EN LA ORGANIZACIÓN Impacto es la medición y la valoración del daño que podría producir a la organización un incidente de seguridad. ESCALA PROPUESTA PARA MEDIR IMPACTO DEL DAÑO EN LA ORGANIZACIÓN ALTO Pérdida o inhabilitación de recursos críticos. Interrupción de procesos de negocio. Daños en la imagen y reputación de la organización. Robo o revelación de información estratégica o especialmente protegida. MODERADO Pérdida o inhabilitación de recursos críticos, pero cuentan con elementos de respaldo. Caída notable en el rendimiento de procesos de negocio o en la actividad. Robo o revelación de información confidencial, pero no considerada estratégica. BAJO Pérdida o inhabilitación de recursos secundarios. Disminución del rendimiento de los procesos de negocio. Robo o revelación de información interna no publicada. IMPACTOS

Riesgo es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informático, causando un determinado impacto en la organización. Herramientas y metodologías que permiten evaluar el riesgo OCTAVE => análisis y evaluación de riesgos. RiskWatch => software de evaluación del riesgo que comtempla los contoles precistos por la norma ISO 17799. COBRA => como el anterior. RIESGOS

DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD Es cualquier medio empleado para eliminar o reducir un riesgo. Su objetivo es reducir las vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas y nivel de impacto en la organización. Medida de seguridad activa => cualquier medida usada para anular o reducir riesgos de una amenaza. Se clasifican en: Medidas de prevención (aplicadas antes del incidente). Son: Autenticación de usuarios Control de accesos a los recursos Encriptación de datos sensibles La formación de usuarios, etc. Medidas de detección (aplicadas durante el incidente). Son: Sistema Detección de Intrusiones (IDS) Herramientas y procedimientos para el análisis de los “logs”(registros de la actividad de los equipos. DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD

DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD Medida de seguridad pasiva => reduce el impacto cuando se produzca un incidente de seguridad. También se conoce como medidas de corrección (aplicadas después del incidente). Son: Copias de seguridad El plan de respuesta a incidentes y de continuidad del negocio, etc. Por otro lado: Defensas físicas => control de acceso físico y condiciones ambientales. Defensas lógicas => protección mediante herramientas y técnicas informáticas: autenticación de usuarios, control de acceso a los ficheros, encriptación de los datos sensibles, etc. NIVEL DE RIESGO RESIDUAL => riesgo que la organización está dispuesta a aceptar. Manteniendo un equilibrio entre el esfuerzo técnico y económico. DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD

TRANSFERENCIA DEL RIESGO A TERCEROS Se trata de la contratación de una póliza de seguros especializada o bien a través de la subcontratación de un proveedor especializado en seguridad informática. TRANSFERENCIA DEL RIESGO A TERCEROS

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.