SlideShare una empresa de Scribd logo

Gestion de Riesgos

Descargar como PPTX, PDF
U
Universidad Dominicana OYM

La gestión de riesgos es un método para determinar, analizar, valorar y clasificar el riesgo para implementar mecanismos de control. Consiste en cuatro fases: análisis, clasificación, reducción y control. El objetivo es obtener una visión global de la organización y los riesgos asociados a sus procesos críticos para protegerlos.

Tecnología
1 de 23
GESTION DE RIESGOS
Gestión de Riesgos  Es un método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo.  La gestión del riesgo permite analizar procesos para obtener una visión global de la organización y con ello el apoyo requerido por parte de la alta gerencia al mostrar la necesidad de proteger y gestionar procesos críticos que afecten drásticamente a la organización.
Gestión de Riesgos Realiza un análisis de riesgos en el entorno de las Tecnologías de la Información y las Comunicaciones (TIC) proporciona a las organizaciones una visión de la situación, tanto por lo que hace a nivel de protección de sus sistemas de información, como por la relación entre estos niveles y el coste que representa para la organización. De esta forma, la gestión del riesgo se constituye como uno de los pilares fundamentales que permite conocer de manera detallada la infraestructura y su funcionamiento interno, así como las consecuencias de una eventual vulnerabilidad o pérdida de servicio.
Visión Global de la Gestión de Riesgos
En su forma general contiene cuatro fases
ANÁLISIS: DETERMINA LOS COMPONENTES DE UN SISTEMA QUE REQUIERE PROTECCIÓN, SUS VULNERABILIDADES QUE LO DEBILITAN Y LAS AMENAZAS QUE LO PONEN EN PELIGRO, CON EL RESULTADO DE REVELAR SU GRADO DE RIESGO. CLASIFICACIÓN: DETERMINA SI LOS RIESGOS ENCONTRADOS Y LOS RIESGOS RESTANTES SON ACEPTABLES. REDUCCIÓN: DEFINE E IMPLEMENTA LAS MEDIDAS DE PROTECCIÓN. ADEMÁS, SENSIBILIZA Y CAPACITA LOS USUARIOS CONFORME A LAS MEDIDAS. CONTROL: ANALIZA EL FUNCIONAMIENTO, LA EFECTIVIDAD Y EL CUMPLIMIENTO DE LAS MEDIDAS, PARA DETERMINAR Y AJUSTAR LAS MEDIDAS DEFICIENTES Y SANCIONA EL INCUMPLIMIENTO.
ANÁLISIS Y GESTION DE RIESGOS  Definir el Alcance  Identificar los Activos  Identificar las Amenazas  Identificar Vulnerabilidades  Identificar salvaguardas  Evaluar Riesgos  Tratar el Riesgos
TRATAMIENT O DEL RIESGO  Evitarlo  Mitigarlo  Transferirlo  Aceptarlo
MONITOREO DE LOS RIESGOS Los riesgos son dinámicos y periódicamente la empresa revisará el valor de los activos, impactos, amenazas, vulnerabilidades y probabilidades en busca de posibles cambios. Por ello es necesaria una supervisión continua que detecte: • Nuevos activos o modificaciones en el valor de los activos • Nuevas amenazas • Cambios o aparición de nuevas vulnerabilidades • Aumento de las consecuencias o impactos • Incidentes de seguridad de la información
MONITOREO DE LOS RIESGOS De forma análoga se revisará el propio proceso de gestión de riesgos para adecuarlo al contexto. Esta revisión afecta entre otros a:  Las categorías de activos  Los criterios de evaluación de riesgos  Los niveles de clasificación de los impactos  Las escalas de aceptación de riesgos  Los recursos necesarios
COMUNICACIÓN DE LOS RIESGOS Durante todo el proceso las acciones de comunicación se sucederán para mantener informada a la Dirección y a la plantilla. Igualmente se recibirá información de los procesos y los interesados, y se podrá constituir un “comité de crisis” que coordine y asuma la responsabilidad en caso de tener que enfrentarse a un incidente de seguridad informático.
COMUNICACIÓN DE LOS RIESGOS Estas acciones de comunicación son importantes para: • Identificar • Valorarlos • Comprender • Establecer • Informar y contribuir • Monitorizar • Revisar • Concienciar a la plantilla y a la dirección
VALOR INTRINSECO El valor intrínseco, precio teórico o valor fundamental de un activo, es el valor que se obtiene teniendo en cuenta todos los componentes que rodean a un activo, incluyendo elementos tangibles e intangibles. La evaluación de costos más ampliamente aceptada consiste en cuantificar los daños que cada posible vulnerabilidad puede causar.
VALOR INTRINSECO En la evaluación del riesgo el impacto nos indica las consecuencias de la materialización de una amenaza. El nivel de riesgo es una estimación de lo que puede ocurrir y se valora, de forma cuantitativa, como el producto del impacto, (consecuencia), asociado a una amenaza (suceso), por la probabilidad de la misma.
VALOR INTRINSECO
Deben considerarse elementos como:  Información aparentemente inocua como datos personales, que pueden permitir a alguien suplantar identidades.  Datos confidenciales de acuerdos y contratos que un atacante podría usar para su beneficio.  Tiempos necesarios para obtener ciertos bienes. Un atacante podría acceder a ellos para ahorrarse el costo (y tiempo) necesario para su desarrollo.
COSTOS DERIVADOS
Identificando medidas de reducción de riesgos La reducción de riesgo se logra a través de la implementación de medidas de protección, que se basen en los resultados del análisis y de la clasificación de riesgo. Las medidas de reducción se categorizan en tres tipos:  Medidas físicas y técnicas - Construcciones de edificios, controles de acceso, planta eléctrica, antivirus, datos cifrados, contraseñas inteligentes, etc.  Medidas personales - Contratación, capacitación, sensibilización, etc.  Medidas organizativas - Normas y reglas, seguimiento de control, auditoria, etc.
En la planeación de medidas de protección para la reducción de riesgos debemos tomar en cuenta que dichas medidas deben ser consecuentes con los siguientes parámetros: Medidas dependiendo del grado del riesgo - Medio riesgo: Medidas parciales para mitigar daño. - Alto riesgo: Medidas exhaustivas para evitar dalo. Verificación de funcionalidad - Respaldo por coordinación - Esfuerzo adicional y costos vs Eficiencia - Evitar medidas pesadas o molestas Fundamento en normas y reglas - Actividades, frecuencia y responsabilidades - Publicación Identificando medidas de reducción de riesgos
Revisar medidas de Seguridad De cara a validar las medidas implementadas o que se desean implementar las organizaciones se valen de los estándares y normas para que dichas medidas sean eficientes y eficaces, ejemplo de dichos estándares son:  ISO/IEC 27000 que integran un sistema de administración de seguridad de la información (information security management system ISMS) el cual está enfocado en la seguridad de la información bajo un explícito control administrativo de la misma.  ISO 15408 es un estándar desarrollado en lo que se conoce como “Criterio Común” y que permite que muchas diferentes aplicaciones de software puedan ser integradas y probadas en una forma o manera segura.  RFC 2196 es memorándum publicado por el Internet Engineering Task Force para el desarrollo de políticas y procedimientos de seguridad para sistemas de información conectados a Internet; proporciona una amplia y general visión de la seguridad de la información incluyendo la seguridad de la red, respuesta a incidentes o las políticas de seguridad. El documento es muy práctico y centrado en el día a día de las operaciones.  Entre otros
Revisar medidas de Seguridad Luego de la implementación de los estándares y normas de la seguridad informática, podemos señalar algunas de las medidas que hoy en día forman parte de las buenas prácticas: 1. Implementación de políticas de seguridad 2. Copias de Seguridad 3. Protección antimalware 4. Actualización permanente de equipos y dispositivos 5. Protección de la red corporativa 6. Protección de dispositivos móviles y equipos personales 7. Blindar la red inalámbrica (WIFI) 8. Gestión de soporte de almacenamiento 9. Monitorización y registro de la actividad 10. Cultura de ciberseguridad
Prof. Ricardo García

Recomendados

Gestiónde riesgos
Gestiónde riesgosGestiónde riesgos
Gestiónde riesgosmario8877aa
 
Gestion Riesgos
Gestion RiesgosGestion Riesgos
Gestion RiesgosDiego Celi
 
Conceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosConceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosITM Platform
 
Gestión riesgos
Gestión riesgosGestión riesgos
Gestión riesgosLiz Carrera Abila
 
análisis y gestión del riesgo
análisis y gestión del riesgoanálisis y gestión del riesgo
análisis y gestión del riesgoSindi Santos Cardenas
 
Proyectos informaticos
Proyectos informaticosProyectos informaticos
Proyectos informaticosMarcos ALVAREZ RIVERA
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
Gestión del riesgo de software
Gestión del riesgo de software Gestión del riesgo de software
Gestión del riesgo de software jose_macias
 

Recomendados

Gestiónde riesgos
Gestiónde riesgosGestiónde riesgos
Gestiónde riesgosmario8877aa
 
Gestion Riesgos
Gestion RiesgosGestion Riesgos
Gestion RiesgosDiego Celi
 
Conceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosConceptos básicos de la gestión de riesgos
Conceptos básicos de la gestión de riesgosITM Platform
 
Gestión riesgos
Gestión riesgosGestión riesgos
Gestión riesgosLiz Carrera Abila
 
análisis y gestión del riesgo
análisis y gestión del riesgoanálisis y gestión del riesgo
análisis y gestión del riesgoSindi Santos Cardenas
 
Proyectos informaticos
Proyectos informaticosProyectos informaticos
Proyectos informaticosMarcos ALVAREZ RIVERA
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
Gestión del riesgo de software
Gestión del riesgo de software Gestión del riesgo de software
Gestión del riesgo de software jose_macias
 
Gestión de los riesgos
Gestión de los riesgosGestión de los riesgos
Gestión de los riesgosHector Javier
 
Riesgos
RiesgosRiesgos
RiesgosCésar Augusto Céspedes Cornejo
 
GestióN De Proyectos Riesgos
GestióN De Proyectos RiesgosGestióN De Proyectos Riesgos
GestióN De Proyectos RiesgosMaría Jesús Salido Rojo
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgosrevistadigital
 
Gestion de riesgos en proyectos de software
Gestion de riesgos en proyectos de softwareGestion de riesgos en proyectos de software
Gestion de riesgos en proyectos de softwareDiego Merchán Salinas
 
Resumen de gestión de calidad y de los riesgos
Resumen de gestión de calidad y de los riesgosResumen de gestión de calidad y de los riesgos
Resumen de gestión de calidad y de los riesgosMaría Belén Unzueta Zari
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgossgalvan
 
Gestión de riesgos en proyectos
Gestión de riesgos en proyectosGestión de riesgos en proyectos
Gestión de riesgos en proyectosGuillermo Montero Fdez-Vivancos
 
Analisis y gestion_de_riesgos
Analisis y gestion_de_riesgosAnalisis y gestion_de_riesgos
Analisis y gestion_de_riesgosAnahi Flores
 
Metodologia mosler
Metodologia moslerMetodologia mosler
Metodologia moslerAlejandra Valdez
 
Gestión de riesgos de software
Gestión de riesgos de softwareGestión de riesgos de software
Gestión de riesgos de softwareOmar S. Gomez
 
Gestión de riesgo, calidad y cambio en el desarrollo de proyectos de software
Gestión de riesgo, calidad y cambio en el desarrollo de proyectos de softwareGestión de riesgo, calidad y cambio en el desarrollo de proyectos de software
Gestión de riesgo, calidad y cambio en el desarrollo de proyectos de softwareBlace57
 
Gestion de riesgo software
Gestion de riesgo softwareGestion de riesgo software
Gestion de riesgo softwareHector L
 
Gestión de los riesgos del proyecto
Gestión de los riesgos del proyectoGestión de los riesgos del proyecto
Gestión de los riesgos del proyectovanejv31
 
Gestión de riesgos
Gestión de riesgos Gestión de riesgos
Gestión de riesgos Alpha Consultoria
 
Gestion de Riesgos
Gestion de Riesgos Gestion de Riesgos
Gestion de Riesgos ✔Alejandro J. Román
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoMarcos Harasimowicz
 
Plan de gestión del riesgo
Plan de gestión del riesgoPlan de gestión del riesgo
Plan de gestión del riesgoEmiliano Grande
 
Ingenieria del software 2
Ingenieria del software 2Ingenieria del software 2
Ingenieria del software 2Luis
 
Matriz de administración de riesgos
Matriz de administración de riesgosMatriz de administración de riesgos
Matriz de administración de riesgosQaroline Törres
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgocarma0101
 
Elba reyes
Elba reyesElba reyes
Elba reyesMaria Veronica Urdaneta Martinez
 

Más contenido relacionado

La actualidad más candente

Gestión de los riesgos
Gestión de los riesgosGestión de los riesgos
Gestión de los riesgosHector Javier
 
Gestion de riesgos en proyectos de software
Gestion de riesgos en proyectos de softwareGestion de riesgos en proyectos de software
Gestion de riesgos en proyectos de softwareDiego Merchán Salinas
 
Resumen de gestión de calidad y de los riesgos
Resumen de gestión de calidad y de los riesgosResumen de gestión de calidad y de los riesgos
Resumen de gestión de calidad y de los riesgosMaría Belén Unzueta Zari
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgossgalvan
 
Analisis y gestion_de_riesgos
Analisis y gestion_de_riesgosAnalisis y gestion_de_riesgos
Analisis y gestion_de_riesgosAnahi Flores
 
Gestión de riesgos de software
Gestión de riesgos de softwareGestión de riesgos de software
Gestión de riesgos de softwareOmar S. Gomez
 
Gestión de riesgo, calidad y cambio en el desarrollo de proyectos de software
Gestión de riesgo, calidad y cambio en el desarrollo de proyectos de softwareGestión de riesgo, calidad y cambio en el desarrollo de proyectos de software
Gestión de riesgo, calidad y cambio en el desarrollo de proyectos de softwareBlace57
 
Gestion de riesgo software
Gestion de riesgo softwareGestion de riesgo software
Gestion de riesgo softwareHector L
 
Gestión de los riesgos del proyecto
Gestión de los riesgos del proyectoGestión de los riesgos del proyecto
Gestión de los riesgos del proyectovanejv31
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoMarcos Harasimowicz
 
Plan de gestión del riesgo
Plan de gestión del riesgoPlan de gestión del riesgo
Plan de gestión del riesgoEmiliano Grande
 
Ingenieria del software 2
Ingenieria del software 2Ingenieria del software 2
Ingenieria del software 2Luis
 
Matriz de administración de riesgos
Matriz de administración de riesgosMatriz de administración de riesgos
Matriz de administración de riesgosQaroline Törres
 

La actualidad más candente (20)

Gestión de los riesgos
Gestión de los riesgosGestión de los riesgos
Gestión de los riesgos
 
Riesgos
RiesgosRiesgos
Riesgos
 
GestióN De Proyectos Riesgos
GestióN De Proyectos RiesgosGestióN De Proyectos Riesgos
GestióN De Proyectos Riesgos
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgos
 
Gestion de riesgos en proyectos de software
Gestion de riesgos en proyectos de softwareGestion de riesgos en proyectos de software
Gestion de riesgos en proyectos de software
 
Resumen de gestión de calidad y de los riesgos
Resumen de gestión de calidad y de los riesgosResumen de gestión de calidad y de los riesgos
Resumen de gestión de calidad y de los riesgos
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgos
 
Gestión de riesgos en proyectos
Gestión de riesgos en proyectosGestión de riesgos en proyectos
Gestión de riesgos en proyectos
 
Analisis y gestion_de_riesgos
Analisis y gestion_de_riesgosAnalisis y gestion_de_riesgos
Analisis y gestion_de_riesgos
 
Metodologia mosler
Metodologia moslerMetodologia mosler
Metodologia mosler
 
Gestión de riesgos de software
Gestión de riesgos de softwareGestión de riesgos de software
Gestión de riesgos de software
 
Gestión de riesgo, calidad y cambio en el desarrollo de proyectos de software
Gestión de riesgo, calidad y cambio en el desarrollo de proyectos de softwareGestión de riesgo, calidad y cambio en el desarrollo de proyectos de software
Gestión de riesgo, calidad y cambio en el desarrollo de proyectos de software
 
Gestion de riesgo software
Gestion de riesgo softwareGestion de riesgo software
Gestion de riesgo software
 
Gestión de los riesgos del proyecto
Gestión de los riesgos del proyectoGestión de los riesgos del proyecto
Gestión de los riesgos del proyecto
 
Gestión de riesgos
Gestión de riesgos Gestión de riesgos
Gestión de riesgos
 
Gestion de Riesgos
Gestion de Riesgos Gestion de Riesgos
Gestion de Riesgos
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de Riesgo
 
Plan de gestión del riesgo
Plan de gestión del riesgoPlan de gestión del riesgo
Plan de gestión del riesgo
 
Ingenieria del software 2
Ingenieria del software 2Ingenieria del software 2
Ingenieria del software 2
 
Matriz de administración de riesgos
Matriz de administración de riesgosMatriz de administración de riesgos
Matriz de administración de riesgos
 

Similar a Gestion de Riesgos

Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgocarma0101
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONAny López
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónDavid Eliseo Martinez Castellanos
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióNmartin
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
Presentacion2
Presentacion2Presentacion2
Presentacion2AGCR22
 

Similar a Gestion de Riesgos (20)

Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgo
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoría
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
 
Seguridad
Seguridad Seguridad
Seguridad
 
Análisis de riesgos informáticos
Análisis de riesgos informáticosAnálisis de riesgos informáticos
Análisis de riesgos informáticos
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la Información
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Seguridad De La InformacióN
Seguridad De La InformacióNSeguridad De La InformacióN
Seguridad De La InformacióN
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Riesgosinformatica
RiesgosinformaticaRiesgosinformatica
Riesgosinformatica
 
01 riesgosinformatica
01 riesgosinformatica01 riesgosinformatica
01 riesgosinformatica
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
I S O 27001
I S O 27001I S O 27001
I S O 27001
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informática
 
Presentacion2
Presentacion2Presentacion2
Presentacion2
 

Último

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 

Último (10)

EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 

Gestion de Riesgos

  • 2. Gestión de Riesgos  Es un método para determinar, analizar, valorar y clasificar el riesgo, para posteriormente implementar mecanismos que permitan controlarlo.  La gestión del riesgo permite analizar procesos para obtener una visión global de la organización y con ello el apoyo requerido por parte de la alta gerencia al mostrar la necesidad de proteger y gestionar procesos críticos que afecten drásticamente a la organización.
  • 3. Gestión de Riesgos Realiza un análisis de riesgos en el entorno de las Tecnologías de la Información y las Comunicaciones (TIC) proporciona a las organizaciones una visión de la situación, tanto por lo que hace a nivel de protección de sus sistemas de información, como por la relación entre estos niveles y el coste que representa para la organización. De esta forma, la gestión del riesgo se constituye como uno de los pilares fundamentales que permite conocer de manera detallada la infraestructura y su funcionamiento interno, así como las consecuencias de una eventual vulnerabilidad o pérdida de servicio.
  • 6. ANÁLISIS: DETERMINA LOS COMPONENTES DE UN SISTEMA QUE REQUIERE PROTECCIÓN, SUS VULNERABILIDADES QUE LO DEBILITAN Y LAS AMENAZAS QUE LO PONEN EN PELIGRO, CON EL RESULTADO DE REVELAR SU GRADO DE RIESGO. CLASIFICACIÓN: DETERMINA SI LOS RIESGOS ENCONTRADOS Y LOS RIESGOS RESTANTES SON ACEPTABLES. REDUCCIÓN: DEFINE E IMPLEMENTA LAS MEDIDAS DE PROTECCIÓN. ADEMÁS, SENSIBILIZA Y CAPACITA LOS USUARIOS CONFORME A LAS MEDIDAS. CONTROL: ANALIZA EL FUNCIONAMIENTO, LA EFECTIVIDAD Y EL CUMPLIMIENTO DE LAS MEDIDAS, PARA DETERMINAR Y AJUSTAR LAS MEDIDAS DEFICIENTES Y SANCIONA EL INCUMPLIMIENTO.
  • 7. ANÁLISIS Y GESTION DE RIESGOS  Definir el Alcance  Identificar los Activos  Identificar las Amenazas  Identificar Vulnerabilidades  Identificar salvaguardas  Evaluar Riesgos  Tratar el Riesgos
  • 8. TRATAMIENT O DEL RIESGO  Evitarlo  Mitigarlo  Transferirlo  Aceptarlo
  • 9.
  • 10. MONITOREO DE LOS RIESGOS Los riesgos son dinámicos y periódicamente la empresa revisará el valor de los activos, impactos, amenazas, vulnerabilidades y probabilidades en busca de posibles cambios. Por ello es necesaria una supervisión continua que detecte: • Nuevos activos o modificaciones en el valor de los activos • Nuevas amenazas • Cambios o aparición de nuevas vulnerabilidades • Aumento de las consecuencias o impactos • Incidentes de seguridad de la información
  • 11. MONITOREO DE LOS RIESGOS De forma análoga se revisará el propio proceso de gestión de riesgos para adecuarlo al contexto. Esta revisión afecta entre otros a:  Las categorías de activos  Los criterios de evaluación de riesgos  Los niveles de clasificación de los impactos  Las escalas de aceptación de riesgos  Los recursos necesarios
  • 12. COMUNICACIÓN DE LOS RIESGOS Durante todo el proceso las acciones de comunicación se sucederán para mantener informada a la Dirección y a la plantilla. Igualmente se recibirá información de los procesos y los interesados, y se podrá constituir un “comité de crisis” que coordine y asuma la responsabilidad en caso de tener que enfrentarse a un incidente de seguridad informático.
  • 13. COMUNICACIÓN DE LOS RIESGOS Estas acciones de comunicación son importantes para: • Identificar • Valorarlos • Comprender • Establecer • Informar y contribuir • Monitorizar • Revisar • Concienciar a la plantilla y a la dirección
  • 14. VALOR INTRINSECO El valor intrínseco, precio teórico o valor fundamental de un activo, es el valor que se obtiene teniendo en cuenta todos los componentes que rodean a un activo, incluyendo elementos tangibles e intangibles. La evaluación de costos más ampliamente aceptada consiste en cuantificar los daños que cada posible vulnerabilidad puede causar.
  • 15. VALOR INTRINSECO En la evaluación del riesgo el impacto nos indica las consecuencias de la materialización de una amenaza. El nivel de riesgo es una estimación de lo que puede ocurrir y se valora, de forma cuantitativa, como el producto del impacto, (consecuencia), asociado a una amenaza (suceso), por la probabilidad de la misma.
  • 17. Deben considerarse elementos como:  Información aparentemente inocua como datos personales, que pueden permitir a alguien suplantar identidades.  Datos confidenciales de acuerdos y contratos que un atacante podría usar para su beneficio.  Tiempos necesarios para obtener ciertos bienes. Un atacante podría acceder a ellos para ahorrarse el costo (y tiempo) necesario para su desarrollo.
  • 19. Identificando medidas de reducción de riesgos La reducción de riesgo se logra a través de la implementación de medidas de protección, que se basen en los resultados del análisis y de la clasificación de riesgo. Las medidas de reducción se categorizan en tres tipos:  Medidas físicas y técnicas - Construcciones de edificios, controles de acceso, planta eléctrica, antivirus, datos cifrados, contraseñas inteligentes, etc.  Medidas personales - Contratación, capacitación, sensibilización, etc.  Medidas organizativas - Normas y reglas, seguimiento de control, auditoria, etc.
  • 20. En la planeación de medidas de protección para la reducción de riesgos debemos tomar en cuenta que dichas medidas deben ser consecuentes con los siguientes parámetros: Medidas dependiendo del grado del riesgo - Medio riesgo: Medidas parciales para mitigar daño. - Alto riesgo: Medidas exhaustivas para evitar dalo. Verificación de funcionalidad - Respaldo por coordinación - Esfuerzo adicional y costos vs Eficiencia - Evitar medidas pesadas o molestas Fundamento en normas y reglas - Actividades, frecuencia y responsabilidades - Publicación Identificando medidas de reducción de riesgos
  • 21. Revisar medidas de Seguridad De cara a validar las medidas implementadas o que se desean implementar las organizaciones se valen de los estándares y normas para que dichas medidas sean eficientes y eficaces, ejemplo de dichos estándares son:  ISO/IEC 27000 que integran un sistema de administración de seguridad de la información (information security management system ISMS) el cual está enfocado en la seguridad de la información bajo un explícito control administrativo de la misma.  ISO 15408 es un estándar desarrollado en lo que se conoce como “Criterio Común” y que permite que muchas diferentes aplicaciones de software puedan ser integradas y probadas en una forma o manera segura.  RFC 2196 es memorándum publicado por el Internet Engineering Task Force para el desarrollo de políticas y procedimientos de seguridad para sistemas de información conectados a Internet; proporciona una amplia y general visión de la seguridad de la información incluyendo la seguridad de la red, respuesta a incidentes o las políticas de seguridad. El documento es muy práctico y centrado en el día a día de las operaciones.  Entre otros
  • 22. Revisar medidas de Seguridad Luego de la implementación de los estándares y normas de la seguridad informática, podemos señalar algunas de las medidas que hoy en día forman parte de las buenas prácticas: 1. Implementación de políticas de seguridad 2. Copias de Seguridad 3. Protección antimalware 4. Actualización permanente de equipos y dispositivos 5. Protección de la red corporativa 6. Protección de dispositivos móviles y equipos personales 7. Blindar la red inalámbrica (WIFI) 8. Gestión de soporte de almacenamiento 9. Monitorización y registro de la actividad 10. Cultura de ciberseguridad