La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

TIC I: Seguridad Informática. Gestión del riesgo.

Publicada porWilfredo SOLER JALDIN Modificado hace 7 años

Presentaciones similares

Presentación del tema: "TIC I: Seguridad Informática. Gestión del riesgo."— Transcripción de la presentación:

1 TIC I: Seguridad Informática. Gestión del riesgo.
Relator: Wilfredo Soler J.

2 Objetivo Analizar los riesgos y amenazas que afectan a las organizaciones en el ambiente TI. “Porque la seguridad tiene un costo, pero la INSEGURIDAD tiene un costo mayor. “

3 Introducción Enemigo hoy es más rápido, más difícil de detectar y mucho más atrevido Conocer las organizaciones Composición Criticidad Procesos clave de negocios Descubrir las amenazas potenciales Determinar las vulnerabilidades PROTEGER

4 Concepto de análisis de riesgo
Amenazas se pueden convertir en realidad a través de fallas de seguridad Fallas de seguridad = vulnerabilidades Eliminarlas para proteger el ambiente Lograr un ambiente libre de riesgos de incidentes de seguridad Análisis de riesgo busca priorizar las acciones de seguridad amenaza-incidente-impacto

5 Concepto de análisis de riesgo
Amenaza Agentes que aprovechan vulnerabilidades Incidente Hechos a ser evitados porque generan problemas en la organización Impactos Efectos que producen los incidentes Tienen amplitud y gravedad Ejemplos: pérdida de un documento confidencial, eventos de la naturaleza

6 Definición de análisis de riesgos
Actividad centrada en la identificación de fallas de seguridad que evidencien vulnerabilidades que puedan ser explotadas por amenazas, provocando impactos en los negocios de la organización Identifica los riesgos a los que está expuesta una organización Determina la recomendaciones de seguridad

7 Definición de análisis de riesgo
¿Debemos eliminar TODOS los riesgos? Realizar un análisis de COSTO – BENEFICIO Crear conciencia que la reducción de riesgos beneficia a Las personas La organización Holísticamente

8 Momento y ámbitos del análisis de riesgos
Tecnológico Humano Procesos Físico ¿Cuándo? antes o después de la definición de una política de seguridad (para ISO puede ser después)

9 Política de seguridad y análisis
Política de seguridad es una medida que busca establecer los estándares de seguridad a ser seguidos por todos los involucrados con el uso y mantenimiento de los activos La política afecta el análisis porque: La política de seguridad delimita el alcance del análisis Permite ser selectivo en la verificación de activos que la política establece como vulnerables El análisis toma en cuenta la lista de amenazas potenciales que la misma política contempla

10 ¿Cuando realizar el análisis?
Después de la política A mayor daño potencial menor debe ser el tiempo tomado para realizar el análisis de riesgos

11 Ámbitos del análisis de riesgos
Tecnológico Obtener el conocimiento de las configuraciones y de la disposición topológica Aplicaciones y equipos usados por las personas Humano Entender las maneras en que las personas se relacionan con los activos Identificar vulnerabilidades en los activos de tipo usuario y organización Ojo: nivel de capacitación de las personas

12 Ámbitos del análisis de riesgos
Procesos Identificar los eslabones entre las actividades y los insumos necesarios para su realización Enfoque principal es del tipo usuario e información Físico Activos del tipo organización que proveen el soporte físico al entorno en que está siendo manipulada la información Accesos indebidos e impacto de desastres

13 Actividades del análisis de riesgos
Un análisis de riesgos se forma por medio de un conjunto de actividades preestablecidas que tiene como objetivo identificar el proceso a considerar , saber cuáles son sus elementos o partes constituyentes, cuáles los equipos necesarios en para efectuarlo Para definir que hacer debemos conocer las vulnerabilidades más comunes Para comprender mejor vamos a utilizar una empresa hipotética de ejemplo

14 Actividades del análisis de riesgos
Empresa Internet Banking Identificar los procesos de negocios de la organización en que se desea implementar o analizar el nivel de seguridad de la información Definición del ámbito del proyecto de análisis de riesgos Realización de análisis donde sea realmente necesario, en base a la relevancia del proceso de negocio y sus activos para alcanzar los objetivos de la organización Por la necesidad de delimitar el universo de activos para ser analizados y sobre los cuales se ofrecerán las recomendaciones.

15 Actividades del análisis de riesgos
Humanos: personas que hacen uso del Internet Banking; soporte a los usuarios Administradores de los activos en la organización responsables de la planeación y coordinación del trabajo equipos que actúan en la definición de las políticas y procedimientos para la realización del proceso de negocio Tecnológicos: servidores de archivos, en los que se encuentran la información sobre el producto, servidor de base de datos que almacena la información de las cuentas de los clientes del Internet Banking; un servidor de correo electrónico (para envío de estado de cuenta por correo electrónico); un servidor Web, que permite que se hagan consultas al producto por Internet elementos de una red de comunicación para el envío y recepción de la información (firewall, router, parámetro, conexión)

16 Actividades del análisis de riesgos
Procesos: estructura organizacional humana que ha sido establecida para la realización del proceso de negocio definición de los equipos para la mantención y garantía de la continuidad de los activos de tecnología del proceso personas y el flujo de actividades relacionadas a la atención a los clientes flujo de información para la realización de una transacción por el banco virtual Físicos: ambiente operativo lugar de trabajo de los equipos involucrados lugar almacenamiento de la información crítica puestos de atención al cliente

17 Relevancia de los procesos de negocio y sus activos
Obtener beneficios del análisis de riesgo: prioridades a lo largo de cada uno de sus procesos de negocio Crear un plan estratégico basado en la importancia e impacto Distinguiendo activos y PROTEGERLOS a través de las acciones de seguridad Empezando por: Áreas más estratégicas que tengan impacto mayor si ocurre un incidente

18 Identificación de la relevancia de los procesos

19 Identificación de la relevancia
¿Sabe usted que procesos son de mayor relevancia para los negocios de la empresa? ¿Esta conciente de qué actividades dentro de la empresa son las más afectadas actualmente por ataques internos y externos?

20 Identificación de la relevancia de los activos
Cada activo que constituye el proceso de negocio, debe ser considerado en una escala de valor crítico ¿Por qué? Para evitar invertir en seguridad donde no sea verdaderamente necesario o donde no sea prioritario La relevancia de los activos en los negocios de la empresa, marcará el rumbo definitivo de las acciones de seguridad en la empresa

21 Identificación de la relevancia de los activos
Identificar los puntos débiles para que sean corregidos disminuir las vulnerabilidades Conocer los elementos constituyentes de la infraestructura de comunicación, procesamiento y almacenamiento de la información dimensionar dónde serán hechos los análisis y cuáles elementos serán considerados Conocer el contenido de la información manipulada por los activos, con base en los principios de la confidencialidad, integridad y disponibilidad Dirigir acciones para incrementar los factores tecnológicos y humanos en las áreas críticas y desprotegidas Permitir una gestión periódica de seguridad identificar nuevas amenazas y vulnerabilidades verificación de la eficacia de las recomendaciones provistas.

Descargar ppt "TIC I: Seguridad Informática. Gestión del riesgo."

Presentaciones similares

A NÁLISIS DE R IESGOS Tercer Corte. I NTRODUCCIÓN Cada día va en aumento la cantidad de casos de incidentes relacionados con la seguridad de los sistemas.

A NÁLISIS DE R IESGOS Tercer Corte. I NTRODUCCIÓN Cada día va en aumento la cantidad de casos de incidentes relacionados con la seguridad de los sistemas.
Academia Latinoamericana de Seguridad Informática Módulo 2

Academia Latinoamericana de Seguridad Informática Módulo 2
Entrega y soporte de servicio de TI Operaciones de los sistemas de información Hardware de sistemas La arquitectura y software de SI Infraestructura de.

Entrega y soporte de servicio de TI Operaciones de los sistemas de información Hardware de sistemas La arquitectura y software de SI Infraestructura de.
PROSPECTIVAS Y ESTRATEGIAS PARA EL SECTOR FINANCIERO POPULAR Y SOLIDARIO GESTIÓN DE CONTINGENCIAS Y SEGURIDAD DE LA INFORMACIÓN.

PROSPECTIVAS Y ESTRATEGIAS PARA EL SECTOR FINANCIERO POPULAR Y SOLIDARIO GESTIÓN DE CONTINGENCIAS Y SEGURIDAD DE LA INFORMACIÓN.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO 27001 QES Quality Environment & Strategies

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO QES Quality Environment & Strategies
Evaluación de Recursos Electrónicos Mtra. Ma. Esther Ramírez Godoy

Evaluación de Recursos Electrónicos Mtra. Ma. Esther Ramírez Godoy
NORMA ISO DIS 9001:2015 Draft International Standard.

NORMA ISO DIS 9001:2015 Draft International Standard.
PRINCIPIOS BASICOS DE LA GESTION DOCUMENTAL EN LA EMPRESA Presentación Elaborada Por: Gestión Administrativa – SURTIMIA Sistema de Gestión de Calidad Bogotá,

PRINCIPIOS BASICOS DE LA GESTION DOCUMENTAL EN LA EMPRESA Presentación Elaborada Por: Gestión Administrativa – SURTIMIA Sistema de Gestión de Calidad Bogotá,
NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)

NTC - ISO 9001 NORMA TÉCNICA COLOMBIANA (TERCERA ACTUALIZACIÓN)
Maria F. Claudio Ortiz Principles of Information Systems.

Maria F. Claudio Ortiz Principles of Information Systems.
1 TALLER MAPEO DE PROCESOS 1a. Parte: Aspectos teóricos del mapeo de procesos.

1 TALLER MAPEO DE PROCESOS 1a. Parte: Aspectos teóricos del mapeo de procesos.
NIA Planeación de una auditoria de Estados Financieros. NOMBRE: Beatriz Acero Zapana CURSO: Auditoria Financiera ESCUELA: Ciencias Contables y Financiera.

NIA Planeación de una auditoria de Estados Financieros. NOMBRE: Beatriz Acero Zapana CURSO: Auditoria Financiera ESCUELA: Ciencias Contables y Financiera.
POLITICAS DE SEGURIDAD. Las políticas de seguridad son elaboradas de acuerdo al análisis de riesgos y de vulnerabilidades en las dependencias de Las Empresas,

POLITICAS DE SEGURIDAD. Las políticas de seguridad son elaboradas de acuerdo al análisis de riesgos y de vulnerabilidades en las dependencias de Las Empresas,
La Ingeniería de Sistemas

La Ingeniería de Sistemas
SEGURIDAD CORPORATIVA

SEGURIDAD CORPORATIVA
GESTIÓN DEL RIESGO E INGENERÍA DE SOFTWARE BASADO EN COMPONENTES

GESTIÓN DEL RIESGO E INGENERÍA DE SOFTWARE BASADO EN COMPONENTES
PLAN DIRECTOR DE SEGURIDAD DEL AYUNTAMIENTO DE BUENAS MANERAS

PLAN DIRECTOR DE SEGURIDAD DEL AYUNTAMIENTO DE BUENAS MANERAS
Ing. Juan Carlos Barrera Mendieta

Ing. Juan Carlos Barrera Mendieta
Plan de Emergencia.

Plan de Emergencia.
Planeación de proyecto

Planeación de proyecto

Presentaciones similares

Anuncios Google