SlideShare una empresa de Scribd logo

Analisis de riesgo informatico

Descargar como DOCX, PDF
Jordy Luna Palacios
Jordy Luna Palacios
1 de 3
ANÁLISIS DE RIESGO El análisis de riesgo, también conocido como evaluación de riesgo o PHA por sus siglas en inglésProcess Hazards Analysis, es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir. Análisis de Riesgos Informáticos El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo Como se describe en el BS ISO / IEC 27001:2005, la evaluación del riesgo incluye las siguientes acciones y actividades. Identificación de los activos Identificación de los requisitos legales y de negocios que son relevantes para la identificación de los activos Valoración de los activos identificados Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad. Identificación de las amenazas y vulnerabilidades importantes para los activos identificados. Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir. Cálculo del riesgo. Evaluación de los riesgos frente a una escala de riesgo preestablecidos '
ELEMENTOS ACTIVO: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos. AMENAZA: Es un evento que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. IMPACTO: consecuencia de la materialización de una amenaza. RIESGO: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización. VULNERABILIDAD: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo. ATAQUE: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. DESASTRE O CONTINGENCIA: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio PUESTA EN MARCHA DE UNA POLÍTICA DE SEGURIDAD Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación. La seguridad informática debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por eso en lo referente a elaborar una política de seguridad, conviene: Elaborar reglas y procedimientos para cada servicio de la organización. Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informáticos. Los derechos de acceso de los operadores deben ser definidos por los responsables jerárquicos y no por los administradores informáticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la política de seguridad definida. Además, como el administrador suele ser el único en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e información relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, así como ser el punto de entrada de la comunicación a los trabajadores sobre problemas y recomendaciones en término.
Analisis de riesgo informatico

Recomendados

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaEnrique Cabello
 
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Jack Daniel Cáceres Meza
 
Auditoria de la ofimatica
Auditoria de la ofimaticaAuditoria de la ofimatica
Auditoria de la ofimaticaManuel Medina
 
Auditoría Física
Auditoría FísicaAuditoría Física
Auditoría Físicajosmal 7
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria InformaticaAmd Cdmas
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Plan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de CómputoPlan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de Cómputossuserdd0f8d
 

Recomendados

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaEnrique Cabello
 
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Jack Daniel Cáceres Meza
 
Auditoria de la ofimatica
Auditoria de la ofimaticaAuditoria de la ofimatica
Auditoria de la ofimaticaManuel Medina
 
Auditoría Física
Auditoría FísicaAuditoría Física
Auditoría Físicajosmal 7
 
Proyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaProyecto final de Curso de Seguridad Informatica
Proyecto final de Curso de Seguridad InformaticaYamileth Miguel
 
Informe final de Auditoria Informatica
Informe final de Auditoria InformaticaInforme final de Auditoria Informatica
Informe final de Auditoria InformaticaAmd Cdmas
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Plan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de CómputoPlan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de Cómputossuserdd0f8d
 
Nist
NistNist
NistYessica B. Leyva Avalos
 
seguridad de los sistemas operativos
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos Carlos Guerrero
 
1.6 Activos Informáticos
1.6 Activos Informáticos1.6 Activos Informáticos
1.6 Activos InformáticosMeztli Valeriano Orozco
 
Plan de Pruebas
Plan de PruebasPlan de Pruebas
Plan de Pruebaschoselin
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasRocio Saenz
 
Tecnicas y herramientas para el desarrollo de software
Tecnicas y herramientas para el desarrollo de softwareTecnicas y herramientas para el desarrollo de software
Tecnicas y herramientas para el desarrollo de softwareReynaldo Mayz
 
Marco Jurídico de la Auditoría Informática
Marco Jurídico de la Auditoría InformáticaMarco Jurídico de la Auditoría Informática
Marco Jurídico de la Auditoría InformáticaDaniel Valdivieso
 
Contingencia Informatica
Contingencia InformaticaContingencia Informatica
Contingencia InformaticaFernando Alfonso Casas De la Torre
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosoamz
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Planificacion de proyecto de software
Planificacion de proyecto de softwarePlanificacion de proyecto de software
Planificacion de proyecto de softwareGeorgy Jose Sanchez
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informaticarayudi
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
7 Elementos cruciales para la Gestión de servicios de TI
7 Elementos cruciales para la Gestión de servicios de TI7 Elementos cruciales para la Gestión de servicios de TI
7 Elementos cruciales para la Gestión de servicios de TISistemas Integrados de Gestión
 
AUDITORÍA DE REDES
AUDITORÍA DE REDESAUDITORÍA DE REDES
AUDITORÍA DE REDESMaría Inés Cahuana Lázaro
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticayamyortiz17
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticaJaime Vergara
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosVidal Oved
 
AREAS AUDITABLES EN INFORMATICA
AREAS AUDITABLES EN INFORMATICAAREAS AUDITABLES EN INFORMATICA
AREAS AUDITABLES EN INFORMATICAWillian Yanza Chavez
 
Análisis de riesgos informáticos
Análisis de riesgos informáticosAnálisis de riesgos informáticos
Análisis de riesgos informáticosJuanita Noemy Miniano Corro
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgosRosaly Mendoza
 

Más contenido relacionado

La actualidad más candente

seguridad de los sistemas operativos
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos Carlos Guerrero
 
Plan de Pruebas
Plan de PruebasPlan de Pruebas
Plan de Pruebaschoselin
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasRocio Saenz
 
Tecnicas y herramientas para el desarrollo de software
Tecnicas y herramientas para el desarrollo de softwareTecnicas y herramientas para el desarrollo de software
Tecnicas y herramientas para el desarrollo de softwareReynaldo Mayz
 
Marco Jurídico de la Auditoría Informática
Marco Jurídico de la Auditoría InformáticaMarco Jurídico de la Auditoría Informática
Marco Jurídico de la Auditoría InformáticaDaniel Valdivieso
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosoamz
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Planificacion de proyecto de software
Planificacion de proyecto de softwarePlanificacion de proyecto de software
Planificacion de proyecto de softwareGeorgy Jose Sanchez
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informaticarayudi
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSGRECIAGALLEGOS
 
7 Elementos cruciales para la Gestión de servicios de TI
7 Elementos cruciales para la Gestión de servicios de TI7 Elementos cruciales para la Gestión de servicios de TI
7 Elementos cruciales para la Gestión de servicios de TISistemas Integrados de Gestión
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticayamyortiz17
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticaJaime Vergara
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosVidal Oved
 

La actualidad más candente (20)

Nist
NistNist
Nist
 
seguridad de los sistemas operativos
seguridad de los sistemas operativos seguridad de los sistemas operativos
seguridad de los sistemas operativos
 
1.6 Activos Informáticos
1.6 Activos Informáticos1.6 Activos Informáticos
1.6 Activos Informáticos
 
Plan de Pruebas
Plan de PruebasPlan de Pruebas
Plan de Pruebas
 
Ejemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemasEjemplo de-auditoria de sistemas
Ejemplo de-auditoria de sistemas
 
Tecnicas y herramientas para el desarrollo de software
Tecnicas y herramientas para el desarrollo de softwareTecnicas y herramientas para el desarrollo de software
Tecnicas y herramientas para el desarrollo de software
 
Marco Jurídico de la Auditoría Informática
Marco Jurídico de la Auditoría InformáticaMarco Jurídico de la Auditoría Informática
Marco Jurídico de la Auditoría Informática
 
Contingencia Informatica
Contingencia InformaticaContingencia Informatica
Contingencia Informatica
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datos
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Planificacion de proyecto de software
Planificacion de proyecto de softwarePlanificacion de proyecto de software
Planificacion de proyecto de software
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informatica
 
AUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOSAUDITORIA DE BASE DE DATOS
AUDITORIA DE BASE DE DATOS
 
7 Elementos cruciales para la Gestión de servicios de TI
7 Elementos cruciales para la Gestión de servicios de TI7 Elementos cruciales para la Gestión de servicios de TI
7 Elementos cruciales para la Gestión de servicios de TI
 
AUDITORÍA DE REDES
AUDITORÍA DE REDESAUDITORÍA DE REDES
AUDITORÍA DE REDES
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informatica
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas InformaticosEvaluacion De La Seguridad De Los Sistemas Informaticos
Evaluacion De La Seguridad De Los Sistemas Informaticos
 
AREAS AUDITABLES EN INFORMATICA
AREAS AUDITABLES EN INFORMATICAAREAS AUDITABLES EN INFORMATICA
AREAS AUDITABLES EN INFORMATICA
 

Destacado

Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgosRosaly Mendoza
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 
ANALISIS DE RIESGO EN EL TRABAJO
ANALISIS DE RIESGO EN EL TRABAJOANALISIS DE RIESGO EN EL TRABAJO
ANALISIS DE RIESGO EN EL TRABAJOYAJAIRA CARDENAS
 
Gestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaGestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaCristiam Lopez
 
Amenazas a la Seguridad Informática
Amenazas a la Seguridad InformáticaAmenazas a la Seguridad Informática
Amenazas a la Seguridad Informáticapersonal
 
IDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOSIDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOSYENNYS3125
 
Pilar analisis de riesgo
Pilar analisis de riesgoPilar analisis de riesgo
Pilar analisis de riesgoHome
 
Aseguramiento de perímetros en la arquitectura de RED
Aseguramiento de perímetros en la arquitectura de REDAseguramiento de perímetros en la arquitectura de RED
Aseguramiento de perímetros en la arquitectura de REDDaniel Osorio
 
Matriz tipo pilar colpatria
Matriz tipo pilar colpatriaMatriz tipo pilar colpatria
Matriz tipo pilar colpatriaSandra Diaz
 
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanosSeguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanosUniversidad Tecnológica
 
Metodología para la valoración del riesgo
Metodología para la valoración del riesgoMetodología para la valoración del riesgo
Metodología para la valoración del riesgoMaría D Pérez H
 
NTC 5254 de 2004 Gestión del riesgo en lugares de trabajo (Icontec Colombia)
NTC 5254 de 2004 Gestión del riesgo en lugares de trabajo (Icontec Colombia)NTC 5254 de 2004 Gestión del riesgo en lugares de trabajo (Icontec Colombia)
NTC 5254 de 2004 Gestión del riesgo en lugares de trabajo (Icontec Colombia)Fernando Arteaga Suárez
 
Análisis de riesgo
Análisis de riesgoAnálisis de riesgo
Análisis de riesgoLBenites
 
Riesgos ocupacionales
Riesgos ocupacionalesRiesgos ocupacionales
Riesgos ocupacionalesisabelcristi
 
Taller 2 caso practico productos quimicos peligrosos (1)
Taller 2 caso practico productos quimicos peligrosos (1)Taller 2 caso practico productos quimicos peligrosos (1)
Taller 2 caso practico productos quimicos peligrosos (1)roji02
 

Destacado (20)

Análisis de riesgos informáticos
Análisis de riesgos informáticosAnálisis de riesgos informáticos
Análisis de riesgos informáticos
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgos
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de Riesgos
 
Analisis de riesgo
Analisis de riesgoAnalisis de riesgo
Analisis de riesgo
 
ANALISIS DE RIESGO EN EL TRABAJO
ANALISIS DE RIESGO EN EL TRABAJOANALISIS DE RIESGO EN EL TRABAJO
ANALISIS DE RIESGO EN EL TRABAJO
 
Gestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informaticaGestion de-riesgo-en-la-seguridad-informatica
Gestion de-riesgo-en-la-seguridad-informatica
 
Amenazas a la Seguridad Informática
Amenazas a la Seguridad InformáticaAmenazas a la Seguridad Informática
Amenazas a la Seguridad Informática
 
IDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOSIDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOS
 
Pilar analisis de riesgo
Pilar analisis de riesgoPilar analisis de riesgo
Pilar analisis de riesgo
 
Aseguramiento de perímetros en la arquitectura de RED
Aseguramiento de perímetros en la arquitectura de REDAseguramiento de perímetros en la arquitectura de RED
Aseguramiento de perímetros en la arquitectura de RED
 
AI03 Analis y gestion de riesgos
AI03 Analis y gestion de riesgosAI03 Analis y gestion de riesgos
AI03 Analis y gestion de riesgos
 
Matriz tipo pilar colpatria
Matriz tipo pilar colpatriaMatriz tipo pilar colpatria
Matriz tipo pilar colpatria
 
Gestión de riesgos
Gestión de riesgos Gestión de riesgos
Gestión de riesgos
 
Seguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanosSeguridad de la informacion en los recursos humanos
Seguridad de la informacion en los recursos humanos
 
Metodología para la valoración del riesgo
Metodología para la valoración del riesgoMetodología para la valoración del riesgo
Metodología para la valoración del riesgo
 
NTC 5254 de 2004 Gestión del riesgo en lugares de trabajo (Icontec Colombia)
NTC 5254 de 2004 Gestión del riesgo en lugares de trabajo (Icontec Colombia)NTC 5254 de 2004 Gestión del riesgo en lugares de trabajo (Icontec Colombia)
NTC 5254 de 2004 Gestión del riesgo en lugares de trabajo (Icontec Colombia)
 
Análisis de riesgo
Análisis de riesgoAnálisis de riesgo
Análisis de riesgo
 
Riesgos ocupacionales
Riesgos ocupacionalesRiesgos ocupacionales
Riesgos ocupacionales
 
Gestión de riesgos 2
Gestión de riesgos 2Gestión de riesgos 2
Gestión de riesgos 2
 
Taller 2 caso practico productos quimicos peligrosos (1)
Taller 2 caso practico productos quimicos peligrosos (1)Taller 2 caso practico productos quimicos peligrosos (1)
Taller 2 caso practico productos quimicos peligrosos (1)
 

Similar a Analisis de riesgo informatico

Auditoria de seguridad
Auditoria de seguridadAuditoria de seguridad
Auditoria de seguridadRayzeraus
 
Seguridad Auditoria de Sistemas
Seguridad Auditoria de SistemasSeguridad Auditoria de Sistemas
Seguridad Auditoria de Sistemaspeponlondon
 
Lasauditoria de seguridad
Lasauditoria de seguridadLasauditoria de seguridad
Lasauditoria de seguridadanniekl
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONAny López
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informaticaebonhoure
 
Unidad 5 delitos informaticos
Unidad 5 delitos informaticosUnidad 5 delitos informaticos
Unidad 5 delitos informaticosmasterprogran
 
Universidad tecnica de machala
Universidad tecnica de machalaUniversidad tecnica de machala
Universidad tecnica de machalaTito98Porto
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02lizardods
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
Revista de auditoria
Revista de auditoriaRevista de auditoria
Revista de auditoriaMAKLG
 
Revista de auditoria
Revista de auditoriaRevista de auditoria
Revista de auditoriaMAKLG
 
Revista de auditoria
Revista de auditoriaRevista de auditoria
Revista de auditoriaMAKLG
 
introducción a la auditoria de sistemas
introducción a la auditoria de sistemas introducción a la auditoria de sistemas
introducción a la auditoria de sistemasUPTM
 

Similar a Analisis de riesgo informatico (20)

Auditoria de seguridad
Auditoria de seguridadAuditoria de seguridad
Auditoria de seguridad
 
Seguridad Auditoria de Sistemas
Seguridad Auditoria de SistemasSeguridad Auditoria de Sistemas
Seguridad Auditoria de Sistemas
 
Lasauditoria de seguridad
Lasauditoria de seguridadLasauditoria de seguridad
Lasauditoria de seguridad
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Auditoriadesistemas1
Auditoriadesistemas1Auditoriadesistemas1
Auditoriadesistemas1
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad
SeguridadSeguridad
Seguridad
 
Unidad 5 delitos informaticos
Unidad 5 delitos informaticosUnidad 5 delitos informaticos
Unidad 5 delitos informaticos
 
Universidad tecnica de machala
Universidad tecnica de machalaUniversidad tecnica de machala
Universidad tecnica de machala
 
Seg Inf Sem02
Seg Inf Sem02Seg Inf Sem02
Seg Inf Sem02
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
 
Revista de auditoria
Revista de auditoriaRevista de auditoria
Revista de auditoria
 
Seguridad
SeguridadSeguridad
Seguridad
 
Revista de auditoria
Revista de auditoriaRevista de auditoria
Revista de auditoria
 
Revista de auditoria
Revista de auditoriaRevista de auditoria
Revista de auditoria
 
introducción a la auditoria de sistemas
introducción a la auditoria de sistemas introducción a la auditoria de sistemas
introducción a la auditoria de sistemas
 

Analisis de riesgo informatico

  • 1. ANÁLISIS DE RIESGO El análisis de riesgo, también conocido como evaluación de riesgo o PHA por sus siglas en inglésProcess Hazards Analysis, es el estudio de las causas de las posibles amenazas y probables eventos no deseados y los daños y consecuencias que éstas puedan producir. Análisis de Riesgos Informáticos El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo Como se describe en el BS ISO / IEC 27001:2005, la evaluación del riesgo incluye las siguientes acciones y actividades. Identificación de los activos Identificación de los requisitos legales y de negocios que son relevantes para la identificación de los activos Valoración de los activos identificados Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad. Identificación de las amenazas y vulnerabilidades importantes para los activos identificados. Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir. Cálculo del riesgo. Evaluación de los riesgos frente a una escala de riesgo preestablecidos '
  • 2. ELEMENTOS ACTIVO: recurso del sistema de información o relacionado con éste, necesario para que la organización funcione correctamente y alcance los objetivos propuestos. AMENAZA: Es un evento que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. IMPACTO: consecuencia de la materialización de una amenaza. RIESGO: posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización. VULNERABILIDAD: posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo. ATAQUE: evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. DESASTRE O CONTINGENCIA: interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio PUESTA EN MARCHA DE UNA POLÍTICA DE SEGURIDAD Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificación. La seguridad informática debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por eso en lo referente a elaborar una política de seguridad, conviene: Elaborar reglas y procedimientos para cada servicio de la organización. Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusión Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informáticos. Los derechos de acceso de los operadores deben ser definidos por los responsables jerárquicos y no por los administradores informáticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la política de seguridad definida. Además, como el administrador suele ser el único en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e información relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, así como ser el punto de entrada de la comunicación a los trabajadores sobre problemas y recomendaciones en término.