La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Análisis y Gestión de Riesgos

Presentaciones similares


Presentación del tema: "Análisis y Gestión de Riesgos"— Transcripción de la presentación:

1 Análisis y Gestión de Riesgos
en un Sistema Informático Resumen

2 Análisis y Gestión de riesgos en un sistema informático.
Sistema para evaluar posibles riesgos del sistema informático y controlar cualquier posible amenaza : Detección de Amenazas - Intencionadas - No intencionadas - Naturales Análisis y detección de vulnerabilidades del sistema de información. - Impacto en los activos afectados Definición e implantación de salvaguardas - Físicas - Técnicas - Administrativas

3 PRINCIPALES CONCEPTOS Y DEFINICIONES EL ANÁLISIS Y GESTIÓN DE RIESGOS:
PARA ESTUDIAR EL ANÁLISIS Y GESTIÓN DE RIESGOS: Recursos del sistema Amenazas Vulnerabilidades Incidentes de seguridad Impactos Riesgos Defensas, salvaguardas o medidas de seguridad Transferencia del riesgo a terceros

4 Los recursos son los activos a proteger del sistema informático de la organización.
Recursos hardware :ordenadores, etc. Recurso software: sistemas operativos, etc. Elementos de comunicaciones: routers, etc. Información manipulada a través del sistema: activo de naturaleza intangible Locales y oficinas donde se ubican recursos físicos Personas que directa o indirectamente se benefician del sistema Imagen y reputación se la organización RECURSOS DEL SISTEMA

5 Evento accidental o intencionado que puede causar daño en el sistema informático.
Amenazas naturales: inundación, etc. Amenazas de agentes externos: virus informático, etc. Amenazas de agentes internos: mala formación de los empleados, etc. Según la intencionalidad de la amenaza destacamos: Accidentes Errores Actualizaciones malintencionadas AMENAZAS

6 INCIDENTES DE SEGURIDAD
Debilidad en el sistema informático que pueda permitir a las amenazas causarle daños y producir pérdidas en la organización. VULNERABILIDADES Son cualquier evento que tenga o pueda tener como resultado la interrupción de los servicios suministrados por un sistema informático, conllevando a posibles pérdidas físicas, de activos o financieras. Un incidente es la materialización de una amenaza. INCIDENTES DE SEGURIDAD

7 ESCALA PROPUESTA PARA MEDIR IMPACTO DEL DAÑO EN LA ORGANIZACIÓN
Impacto es la medición y la valoración del daño que podría producir a la organización un incidente de seguridad. ESCALA PROPUESTA PARA MEDIR IMPACTO DEL DAÑO EN LA ORGANIZACIÓN ALTO Pérdida o inhabilitación de recursos críticos. Interrupción de procesos de negocio. Daños en la imagen y reputación de la organización. Robo o revelación de información estratégica o especialmente protegida. MODERADO Pérdida o inhabilitación de recursos críticos, pero cuentan con elementos de respaldo. Caída notable en el rendimiento de procesos de negocio o en la actividad. Robo o revelación de información confidencial, pero no considerada estratégica. BAJO Pérdida o inhabilitación de recursos secundarios. Disminución del rendimiento de los procesos de negocio. Robo o revelación de información interna no publicada. IMPACTOS

8 Riesgo es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informático, causando un determinado impacto en la organización. Herramientas y metodologías que permiten evaluar el riesgo OCTAVE => análisis y evaluación de riesgos. RiskWatch => software de evaluación del riesgo que comtempla los contoles precistos por la norma ISO COBRA => como el anterior. RIESGOS

9 DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD
Es cualquier medio empleado para eliminar o reducir un riesgo. Su objetivo es reducir las vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas y nivel de impacto en la organización. Medida de seguridad activa => cualquier medida usada para anular o reducir riesgos de una amenaza. Se clasifican en: Medidas de prevención (aplicadas antes del incidente). Son: Autenticación de usuarios Control de accesos a los recursos Encriptación de datos sensibles La formación de usuarios, etc. Medidas de detección (aplicadas durante el incidente). Son: Sistema Detección de Intrusiones (IDS) Herramientas y procedimientos para el análisis de los “logs”(registros de la actividad de los equipos. DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD

10 DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD
Medida de seguridad pasiva => reduce el impacto cuando se produzca un incidente de seguridad. También se conoce como medidas de corrección (aplicadas después del incidente). Son: Copias de seguridad El plan de respuesta a incidentes y de continuidad del negocio, etc. Por otro lado: Defensas físicas => control de acceso físico y condiciones ambientales. Defensas lógicas => protección mediante herramientas y técnicas informáticas: autenticación de usuarios, control de acceso a los ficheros, encriptación de los datos sensibles, etc. NIVEL DE RIESGO RESIDUAL => riesgo que la organización está dispuesta a aceptar. Manteniendo un equilibrio entre el esfuerzo técnico y económico. DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD

11 TRANSFERENCIA DEL RIESGO A TERCEROS
Se trata de la contratación de una póliza de seguros especializada o bien a través de la subcontratación de un proveedor especializado en seguridad informática. TRANSFERENCIA DEL RIESGO A TERCEROS


Descargar ppt "Análisis y Gestión de Riesgos"

Presentaciones similares


Anuncios Google