Análisis y Gestión de Riesgos en un Sistema Informático.

Slides:



Advertisements
Presentaciones similares
CONTENIDOS 2. Objetivos de la seguridad informática
Advertisements

Seguridad Definición de seguridad informática. Terminología.
Control Interno Informático. Concepto
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.
SEGURIDAD FISICA DE LOS SISTEMAS INFORMATICOS
Base de Datos Distribuidas FUNDAMENTOS DE BASES DE DATOS DISTRIBUIDAS

Análisis y gestión de riesgos en un Sistema Informático
DETECCIÓN DE INTRUSOS rodríguez García Juan Carlos 3812
Curso de Actualización Conceptos Básicos de Seguridad
UPC – SI-38 Seguridad y Auditoría de Sistemas Administración del Riesgo.
Guía para la evaluación de seguridad en un sistema
Seguridad de los sistemas informáticos
AUDITORÍA INFORMÁTICA
Auditoria Informática Unidad II
SEGURIDAD INFORMÁTICA
Análisis y Gestión de riesgos en un sistema informático
Introducción a la Seguridad de la información
ESCUELA POLITECNICA DEL EJERCITO
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
Tema 1 – Adopción de pautas de seguridad informática
Auditoría de Sistemas y Software
SEGURIDAD DE REDES ALEJANDRO ZAMBRANO CEDENO. La seguridad informática consiste en asegurar los recursos del sistema de información (material informático.
SEGURIDAD INFORMÁTICA
ES-1.FUNCIÓN Principal para que el sistema sea accesible y segura esto implica que debemos formar medidas para que la información no se pierda o corrompa.
Análisis y Gestión de Riesgos
Seguridad y control Unidad V Material de apoyo “activos”
Riesgos MAGERIT: Metodología de análisis y gestión de riesgos de los sistemas de información Se estructura en siete guías Guía de aproximación a la seguridad.
Resumen análisis y gestión de riesgos Marcos Castro Franco.
EVALUACION DE NIVELES DE SEGURIDAD DEL CENTRO DE CÓMPUTO
Organización del Departamento de Auditoria Informática
SEGURIDAD INFORMÀTICA Presentado por: YAMILETH ORTÌZ
Analisis y Gestion de Riesgos en un Sistema Informatico
Administración lógica y física de la seguridad en una red computacional Docente: Hector Salazar Robinson
Colegio de Bachilleres Plantel 14”Milpa Alta REDES SERVICIOS SEGURIDAD FISICA PEREZ AGUILAR LOURDES DORELI sampedreño rios gabriela.
Amenazas. Tipos Gabriel Montañés León.
Políticas de defensa en profundidad: - Defensa perimetral
IV. SEGURIDAD INFORMÁTICA:
SEGURIDAD INFORMATICA LOUNDY BETZAIDA CIFUENTES
Ing. Ana Elena Murgas Vargas
GESTION Y ADMINISTRACION DE LA SEGURIDAD EN SISTEMAS DE INFORMACION
SGSI: Sistemas de Gestión de la Seguridad de la Información
©Copyright 2013 ISACA. Todos los derechos reservados Evaluación de riesgos Existen numerosos modelos de gestión de riesgos a disposición del Gerente.
Auditoría en Informática
Proveedores de servicios externos
Company LOGO SEGURIDAD INFORMATICA Lucas Solis Ivonne.
PROBLEMAS DE SEGURIDAD EN REDES Y SISTEMAS DE INFORMÁTICOS(parte 02)
Importancia de La Seguridad
ROCKET.-Sibaja Pacheco Araceli.-Pedro Victoria Daniel.-Roberto Pineda Castillejos.
©Copyright 2013 ISACA. Todos los derechos reservados. Confianza y valor de los sistemas de información ISACA ®
Medidas de seguridad Gabriel Montañés León.
Análisis y Gestión de Riesgos en un Sistema Informático
IMPACTO ECONOMICO DE LOS COSTOS DE LA CALIDAD
Medidas de seguridad. Javier Rodríguez Granados. Introducción Todas las empresas, independientemente de su tamaño, organización y volumen de negocio,
AUDITORIA INFORMATICA
Procesos itil Equipo 8.
Tema 1 – Adopción de pautas de seguridad informática
PROBLEMAS DE SEGURIDAD EN REDES Y SISTEMAS DE INFORMÁTICOS (parte 01) Vulnerabilidad De Los Sistemas Informáticos Causas de las vulnerabilidades de los.
DIRECCION NACIONAL DE PROTECCION CIVIL MINISTERIO DE SEGURIDAD.
Una parte esencial del trabajo informático es mantener protegida, resguardada y respaldada la información con la cual se trabaja, pues de todo ello depende.
 Protección contra problemas de corriente.  Protección por contraseñas.  Protección con Backup.  Protección contra intrusos (Internet).
Nombre: Arianne Calderón Boutier Materia: Gerencia de Procesos.
1 Seguridad en Redes Presentación 3 Sistemas Grado 11 Hernán Darío García.
PLAN DE CONTINGENCIA Y EMERGENCIA
Historia n Enero 2001, el Comité de Basilea publicó un documento de consulta en el que se desarrolla el Nuevo Acuerdo de Capital, que ha supuesto la introducción.
SEGURIDAD TELEMÁTICA. VISIÓN ACTUAL Y DE FUTURO.
ESTUDIO DE FACTIBILIDAD
Seguridad y Control de los Sistemas de Información Cra. Maria Alejandra Masclef.
Transcripción de la presentación:

Análisis y Gestión de Riesgos en un Sistema Informático. Alejandro Henríquez Bravo

Índice Recursos del Sistema Amenazas Vulnerabilidades Incidentes de Seguridad Impactos Riesgos Defensas, Salvaguardas o Medidas de Seguridad Trasferencia del Riesgo a Terceros Referencias de Interés

Recursos del Sistema Principales recursos a la hora de analizar y gestionar riesgos: Recursos de hardware: servicios y estaciones de trabajo, ordenadores portátiles, impresoras, escáneres y otros periféricos. Recursos software: sistemas operativos, herramientas ofimáticas, software de gestión, herramientas de programación, aplicaciones desarrolladas a medida, etc. Elementos de comunicaciones: dispositivos de conectividad (hubs, switches, routers), armarios con paneles de conexión, cableado, puntos de acceso a la red, líneas de comunicación con el exterior, etc. Información que se almacena, procesa y distribuye a través del sistema (activo de naturaleza intangible). Locales y oficinas donde se ubican los recursos físicos y desde los que acceden al sistema los usuarios finales. Personas que utilizan y se benefician directa o indirectamente del funcionamiento del sistema. Imagen y reputación de la organización.

Amenazas Una Amenaza es cualquier evento accidental o intencionado que pueda ocasionar algún daño en el sistema informático, provocando pérdidas materiales, financieras o de otro tipo a la organización. Se puede establecer a la hora de estudiar las amenazas a la seguridad: Amenazas naturales: inundación, incendio, tormenta, fallo eléctrico, explosión, etc. Amenazas de agentes externos: virus informáticos, ataques de una organización criminal, sabotajes terroristas, disturbios y conflictos sociales, intrusos en la red, robos, estafas, etc. Amenazas de agentes internos: empleados descuidados con una formación inadecuada o descontentos, errores en la utilización de las herramientas y recursos del sistema, etc.

También podríamos definir una clasificación alternativa, teniendo en cuenta el grado de intencionalidad de la amenaza: -Accidentes: averías del hardware y fallos de software, incendio, inundación, etc. -Errores: errores de utilización, de explotación, de ejecución de determinados procedimientos, etc. -Actuaciones malintencionadas: robos, fraudes, sabotajes, intentos de intrusión, etc. Se puede emplear una escala cuantitativa o cualitativa para definir distintos niveles para la ocurrencia de una amenaza: Muy Baja, Baja, Media, Alta y Muy Alta.

Vulnerabilidades Una vulnerabilidad es cualquier debilidad en el sistema informático que puede permitir a las amenazas causarle daños y producir pérdidas en la organización. Se corresponden con fallos en los sistemas físicos y lógicos, aunque también pueden tener su origen en los defectos de ubicación , instalación, configuración y mantenimiento de los equipos. Se suele emplear una escala cuantitativa o cualitativa para definir el nivel de vulnerabilidad de un determinado equipo o recurso: baja, media y alta.

Incidentes de Seguridad Una incidente de seguridad es cualquier evento que tenga o pueda tener como resultado la interrupción de los servicios suministrados por un sistema informático y posibles pérdidas físicas, de activos o financieras. Es decir, se considera que un incidente es la materialización de una amenaza.

Impactos El impacto es la medición y valoración del daño que podría producir a la organización un incidente de la seguridad. También en este caso se puede emplear una escala cuantitativa o cualitativa para medir el impacto del daño en la organización: bajo, moderado y alto.

Riesgos El riesgo es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informático, causando un determinado impacto en la organización. El nivel de riesgo depende del análisis previo de vulnerabilidades del sistema, de las amenazas y del posible impacto que éstas pueden tener en el funcionamiento de la organización. Se han propuesto distintas metodologías como CRMM, para la evaluación de riesgos en sistemas informáticos.

Ejemplo práctico de evaluación del nivel de riesgo: Activo: servidor de ficheros de la organización. Amenaza: fallo hardware en un servidor, con una probabilidad de ocurrencia baja. Vulnerabilidad del sistema: alta, ya que no se dispone de un servidor alternativo ni de medidas redundantes (como los discos Raid, etc). Impacto: indisponibilidad durante 24 horas del activo afectado, por lo que se puede considerar como un impacto de nivel alto. Nivel de riesgo: se obtiene a partir de las tablas de valoración que se hayan adoptado, teniendo en cuenta que la amenaza es baja la vulnerabilidad es alta y el impacto es alto.

Defensas, Salvaguardas o Medidas de Seguridad Una defensa, salvaguarda o medida de seguridad es cualquier medio empleado para eliminar o reducir un riesgo. Su objetivo es reducir las vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas y el nivel de impacto en la organización. Una medida de seguridad activa, es cualquier medida utilizada para anular o reducir el riesgo de una amenaza. A su vez, se pueden clasificarse en medidas de prevención y medidas de detección. Una medida de seguridad pasiva es cualquier medida empleada para reducir el impacto cuando se produzca un incidente de seguridad. También conocidas como medidas de corrección.

Defensas, Salvaguardas o Medidas de Seguridad Se puede distinguir también entre defensas físicas y defensas lógicas: Defensas físicas: medidas que implican el control de acceso físico a los recursos y de las condiciones ambientales en que tienen que ser utilizados (temperatura, humedad, suministro eléctrico, interferencias, etc.). Defensas lógicas: se encuentran relacionadas con la protección conseguida mediante distintas herramientas y técnicas informáticas (autenticación de usuarios, control de acceso a ficheros, encriptación de los datos sensibles, etc.).

Trasferencia del Riesgo a Terceros Como alternativa a la implantación de una serie de medidas de seguridad, una organización también podría considerar la transferencia del riesgo a un tercer, ya sea mediante la contratación de una póliza de seguros especializada o bien a través de la subcontratación de un proveedor especializado en ofrecer determinados servicios de seguridad informática. Las pólizas tradicionales de responsabilidad civil y cobertura de daños suelen excluir expresamente las pérdidas ocasionadas por fallos y ataques informáticos: virus, hackers y crackers, etc. Sin embargo, contemplan la cobertura de los daños propios de la organización derivados de ataques y otros incidentes de seguridad: pérdidas económicas derivadas de las reparaciones y sustituciones de equipos y sistemas, daños ocasionados por la interrupción en el negocio, contratación de consultores informáticos y legales para mitigar los daños, etc. Por último, la organización también podría considerar conveniente recurrir a una empresa externa especializada para la revisión de la seguridad de los servicios públicos que ofrece a través de Internet: Website, servidor FTP, servidor DNS.

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.