SlideShare una empresa de Scribd logo

Sistemas de seguridad capitulo 2

Descargar como PPT, PDF
R
RUBENP0RTILL0
1 de 10
Seguridad Informática CARRERA DE INGENIERIA EN INFORMATICA
No solo las amenazas que surgen de la programación y el funcionamiento de un dispositivo de almacenamiento, transmisión o proceso deben ser consideradas, también hay otras circunstancias que deben ser tenidas en cuenta, incluso «no informáticas». Capítulo 2: Seguridad de la Información Muchas son a menudo imprevisibles o inevitables, de modo que las únicas protecciones posibles son las redundancias y la descentralización, por ejemplo mediante determinadas estructuras de redes en el caso de las comunicaciones o servidores en clúster para la disponibilidad. Amenazas
Las amenazas pueden ser causadas por:  Usuarios: Sus acciones causan problemas de seguridad, por permisos sobredimensionados.  Programas maliciosos:. Estos pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica, un programa espía o spyware, en general conocidos como malware.  Un siniestro (robo, incendio, inundación): una mala manipulación.  Fallos electrónicos o lógicos de los sistemas informáticos en general.  Intrusos: Personas no autorizadas (crackers, defacers, hackers, script kiddie o script boy, viruxers, etc.).  Errores de programación: Por su condición de poder ser usados como exploits por los crackers, aunque el mal desarrollo es, en sí mismo, una amenaza.  Personal técnico interno: Disputas internas, problemas laborales, despidos, fines lucrativos, espionaje, etc.  Catástrofes naturales: rayos, terremotos, inundacion es, rayos cósmicos, etc. Capítulo 2: Seguridad de la Información
Capítulo 2: Seguridad de la Información Tipos de Amenazas:  Amenazas por el origen: Conectar una red a un entorno externo hace que algún atacante pueda ingresar y hacer robo de información o alterar el funcionamiento de la red. Estas se dividen en: Amenazas internas: Si es por usuarios o personal técnico. Amenazas externas: Rosetas accesibles, redes inalámbricas desprotegidas, equipos sin vigilancia, etc.  Amenazas por el efecto: Robo de información. Destrucción de información. Anulación del funcionamiento de los sistemas o efectos que tiendan a ello. Suplantación de la identidad, publicidad de datos personales o confidenciales, cambio de información, venta de datos personales, etc. Robo de dinero, estafas.  Amenazas por el medio utilizado: Virus informático: malware , Phishing. Ingeniería social. Denegación de servicio. Spoofing.
Riesgo Se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo. Un riesgo conlleva dos tipos de consecuencias: ganancias o pérdidas. En tecnología, el riesgo se plantea solamente como amenaza, determinando el grado de exposición a la ocurrencia de una pérdida (por ejemplo el riesgo de perder datos debido a rotura de disco, virus informáticos, etc.). También se define como: “La probabilidad de que una amenaza se materialice, utilizando vulnerabilidad existentes de un activo o un grupo de activos, generándole perdidas o daños”. Capítulo 2: Seguridad de la Información
En la definición anterior se pueden identificar varios elementos que se deben comprender adecuadamente para, por ende, comprender integralmente el concepto de riesgo manejado. Estos elementos son: probabilidad, amenazas, vulnerabilidades, activos e impactos. bbb Capítulo 2: Seguridad de la Información
Definiciones:  Probabilidad: Establecer la probabilidad de ocurrencia puede realizarse de manera cuantitativa o cualitativa, pero siempre considerando que la medida no debe contemplar la existencia de ninguna acción paliativa, o sea, debe considerarse en cada caso qué posibilidades existen que la amenaza se presente independientemente del hecho que sea o no contrarrestada.  Amenazas: Son aquellas acciones que pueden ocasionar consecuencias negativas en la operativa de la empresa..  Vulnerabilidades: Condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen, llevan a esos activos a ser vulnerables. Mediante el uso de las debilidades existentes las amenazas logran materializarse, estas siempre están presentes, pero sin la identificación de una vulnerabilidad no podrán ocasionar ningún impacto. Las vulnerabilidades son de naturaleza variada: Ej: Falta de conocimiento del usuario, tecnología inadecuadamente probada (“testeada”), transmisión por redes públicas, etc. Una vulnerabilidad común es contar con antivirus no actualizado. Capítulo 2: Seguridad de la Información
 Activos: Los activos a reconocer son aquellos relacionados con sistemas de información. Ejemplos típicos son los datos, el hardware, el software, servicios, documentos, edificios y recursos humanos  Impactos: Las consecuencias de la ocurrencia de las distintas amenazas son siempre negativas. Las pérdidas generadas pueden ser financieras, no financieras, de corto plazo o de largo plazo. Capítulo 2: Seguridad de la Información
 Identificación de los activos.  Identificación de los requisitos legales y de negocios que son relevantes para la identificación de los activos.  Valoración de los activos identificados.  Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad.  Identificación de las amenazas y vulnerabilidades importantes para los activos identificados.  Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.  Cálculo del riesgo.  Evaluación de los riesgos frente a una escala de riesgo preestablecidos.  Evaluación de los riesgos frente a una escala de riesgo preestablecidos.  Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser:  Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.  Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo.  Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero.  Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto se acepta. La evaluación del riesgo incluye las siguientes actividades y acciones: Capítulo 2: Seguridad de la Información
Ejemplo Práctico Capítulo 2: Seguridad de la Información

Recomendados

La seguridad informática
La seguridad informáticaLa seguridad informática
La seguridad informáticaChochy Levio
 
Seguridad inf
Seguridad infSeguridad inf
Seguridad infAlcedo Molina
 
Amenazas y fraudes en los sistemas de información.
Amenazas y fraudes en los sistemas de información.Amenazas y fraudes en los sistemas de información.
Amenazas y fraudes en los sistemas de información.Ana Bruna
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática Alexader
 
12 amenazas a la seguridad de la información
12 amenazas a la seguridad de la información12 amenazas a la seguridad de la información
12 amenazas a la seguridad de la informaciónDavid Antonio Rapri Mendoza
 
Seguridad Informatica
Seguridad Informatica Seguridad Informatica
Seguridad Informatica Alejandro Quevedo
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJorgewladimirgrandaalban
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticosEstefanía Novoa
 

Recomendados

La seguridad informática
La seguridad informáticaLa seguridad informática
La seguridad informáticaChochy Levio
 
Seguridad inf
Seguridad infSeguridad inf
Seguridad infAlcedo Molina
 
Amenazas y fraudes en los sistemas de información.
Amenazas y fraudes en los sistemas de información.Amenazas y fraudes en los sistemas de información.
Amenazas y fraudes en los sistemas de información.Ana Bruna
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática Alexader
 
12 amenazas a la seguridad de la información
12 amenazas a la seguridad de la información12 amenazas a la seguridad de la información
12 amenazas a la seguridad de la informaciónDavid Antonio Rapri Mendoza
 
Seguridad Informatica
Seguridad Informatica Seguridad Informatica
Seguridad Informatica Alejandro Quevedo
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJorgewladimirgrandaalban
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticosEstefanía Novoa
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática Daniel Chavez Lopez
 
Objetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgosObjetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgosSen Alonzo
 
Riesgos y amenazas de la informacion
Riesgos y amenazas de la informacionRiesgos y amenazas de la informacion
Riesgos y amenazas de la informacionJean Carlos Leon Vega
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICAAlejandro Quevedo
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJemarly11
 
Seguridades Informàticas
Seguridades InformàticasSeguridades Informàticas
Seguridades InformàticasEduardodj95
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informáticaPedro Cobarrubias
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
Tarea 2
Tarea 2Tarea 2
Tarea 2Michelle Gonxalez
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticajuanskate545
 
La seguridad en las redes alexis
La seguridad en las redes alexisLa seguridad en las redes alexis
La seguridad en las redes alexisAlexis Isai Perez Perez
 
Amenazas Informaticas
Amenazas InformaticasAmenazas Informaticas
Amenazas InformaticasDimiber
 
Amenazas informaticas
Amenazas informaticasAmenazas informaticas
Amenazas informaticasUniversidad Tecnológica del Perú
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJACKJOSUELOPEZLEON
 
Seguridad informatica
Seguridad informatica Seguridad informatica
Seguridad informatica lore_vaskez
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaKevin Martinez
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticosolfersaulroseroramirez
 
Seguridad
SeguridadSeguridad
SeguridadLeonardo Tenesaca
 
Presentacic3b3n de-tic
Presentacic3b3n de-ticPresentacic3b3n de-tic
Presentacic3b3n de-ticEstebanGonzalez153
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICAAlejandro Quevedo
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informáticaPedro Cobarrubias
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticasergio_gonzalez_martinez
 

Más contenido relacionado

La actualidad más candente

Objetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgosObjetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgosSen Alonzo
 
Riesgos y amenazas de la informacion
Riesgos y amenazas de la informacionRiesgos y amenazas de la informacion
Riesgos y amenazas de la informacionJean Carlos Leon Vega
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJemarly11
 
Seguridades Informàticas
Seguridades InformàticasSeguridades Informàticas
Seguridades InformàticasEduardodj95
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informáticaPedro Cobarrubias
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgosdaylisyfran
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticajuanskate545
 
Amenazas Informaticas
Amenazas InformaticasAmenazas Informaticas
Amenazas InformaticasDimiber
 
Seguridad informatica
Seguridad informatica Seguridad informatica
Seguridad informatica lore_vaskez
 

La actualidad más candente (19)

Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
 
Objetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgosObjetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgos
 
Riesgos y amenazas de la informacion
Riesgos y amenazas de la informacionRiesgos y amenazas de la informacion
Riesgos y amenazas de la informacion
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridades Informàticas
Seguridades InformàticasSeguridades Informàticas
Seguridades Informàticas
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informática
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgos
 
Tarea 2
Tarea 2Tarea 2
Tarea 2
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
La seguridad en las redes alexis
La seguridad en las redes alexisLa seguridad en las redes alexis
La seguridad en las redes alexis
 
Amenazas Informaticas
Amenazas InformaticasAmenazas Informaticas
Amenazas Informaticas
 
Amenazas informaticas
Amenazas informaticasAmenazas informaticas
Amenazas informaticas
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informatica
Seguridad informatica Seguridad informatica
Seguridad informatica
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
 
Seguridad
SeguridadSeguridad
Seguridad
 
Presentacic3b3n de-tic
Presentacic3b3n de-ticPresentacic3b3n de-tic
Presentacic3b3n de-tic
 

Similar a Sistemas de seguridad capitulo 2

Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informáticaPedro Cobarrubias
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaJoeDiaz66
 
Manual de seguridad informática
Manual de seguridad informáticaManual de seguridad informática
Manual de seguridad informáticaCristhian Mendoza
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticamaricarrion
 
Seguridad Informática - Ensayo
Seguridad Informática - Ensayo Seguridad Informática - Ensayo
Seguridad Informática - Ensayoronaldmartinez11
 
Ensayo de seguridad informática
Ensayo de seguridad informáticaEnsayo de seguridad informática
Ensayo de seguridad informáticaronaldlezama
 
seguridad informatica
seguridad informatica seguridad informatica
seguridad informatica Anita Blacio
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticaAnita Blacio
 
Seguridad informatica amenazas
Seguridad informatica amenazasSeguridad informatica amenazas
Seguridad informatica amenazasRodrigo Fleitas
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticacamila garcia
 
Seguridad Informática sobre los diferentes entes cibernéticos.
Seguridad Informática sobre los diferentes entes cibernéticos.Seguridad Informática sobre los diferentes entes cibernéticos.
Seguridad Informática sobre los diferentes entes cibernéticos.Karen862494
 

Similar a Sistemas de seguridad capitulo 2 (20)

SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informática
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Manual de seguridad informática
Manual de seguridad informáticaManual de seguridad informática
Manual de seguridad informática
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad Informática - Ensayo
Seguridad Informática - Ensayo Seguridad Informática - Ensayo
Seguridad Informática - Ensayo
 
Ensayo de seguridad informática
Ensayo de seguridad informáticaEnsayo de seguridad informática
Ensayo de seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
seguridad informatica
seguridad informatica seguridad informatica
seguridad informatica
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Deber ana
Deber anaDeber ana
Deber ana
 
Seguridad informatica amenazas
Seguridad informatica amenazasSeguridad informatica amenazas
Seguridad informatica amenazas
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad Informática sobre los diferentes entes cibernéticos.
Seguridad Informática sobre los diferentes entes cibernéticos.Seguridad Informática sobre los diferentes entes cibernéticos.
Seguridad Informática sobre los diferentes entes cibernéticos.
 

Más de RUBENP0RTILL0

Plan de negocios-CANVAS
Plan de negocios-CANVASPlan de negocios-CANVAS
Plan de negocios-CANVASRUBENP0RTILL0
 
S seg cap 2 cont 5 analisis de pareto
S seg cap 2 cont 5 analisis de paretoS seg cap 2 cont 5 analisis de pareto
S seg cap 2 cont 5 analisis de paretoRUBENP0RTILL0
 
S seg cap 2 cont 4 problemas
S seg cap 2 cont 4 problemasS seg cap 2 cont 4 problemas
S seg cap 2 cont 4 problemasRUBENP0RTILL0
 
Emprendedurismo capitulo 2 Completo
Emprendedurismo capitulo 2 Completo Emprendedurismo capitulo 2 Completo
Emprendedurismo capitulo 2 CompletoRUBENP0RTILL0
 
cap 2 cont 2 maslow herzberg
cap 2 cont 2 maslow herzberg cap 2 cont 2 maslow herzberg
cap 2 cont 2 maslow herzbergRUBENP0RTILL0
 
cap 2 cont 1 circulos de calidad
cap 2 cont 1 circulos de calidadcap 2 cont 1 circulos de calidad
cap 2 cont 1 circulos de calidadRUBENP0RTILL0
 
cap 2 cont 3 teorias xyz
cap 2 cont 3 teorias xyzcap 2 cont 3 teorias xyz
cap 2 cont 3 teorias xyzRUBENP0RTILL0
 
Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1RUBENP0RTILL0
 
Emprendedurismo capitulo 2
Emprendedurismo capitulo 2Emprendedurismo capitulo 2
Emprendedurismo capitulo 2RUBENP0RTILL0
 
Emprendedurismo capitulo 1
Emprendedurismo capitulo 1Emprendedurismo capitulo 1
Emprendedurismo capitulo 1RUBENP0RTILL0
 

Más de RUBENP0RTILL0 (10)

Plan de negocios-CANVAS
Plan de negocios-CANVASPlan de negocios-CANVAS
Plan de negocios-CANVAS
 
S seg cap 2 cont 5 analisis de pareto
S seg cap 2 cont 5 analisis de paretoS seg cap 2 cont 5 analisis de pareto
S seg cap 2 cont 5 analisis de pareto
 
S seg cap 2 cont 4 problemas
S seg cap 2 cont 4 problemasS seg cap 2 cont 4 problemas
S seg cap 2 cont 4 problemas
 
Emprendedurismo capitulo 2 Completo
Emprendedurismo capitulo 2 Completo Emprendedurismo capitulo 2 Completo
Emprendedurismo capitulo 2 Completo
 
cap 2 cont 2 maslow herzberg
cap 2 cont 2 maslow herzberg cap 2 cont 2 maslow herzberg
cap 2 cont 2 maslow herzberg
 
cap 2 cont 1 circulos de calidad
cap 2 cont 1 circulos de calidadcap 2 cont 1 circulos de calidad
cap 2 cont 1 circulos de calidad
 
cap 2 cont 3 teorias xyz
cap 2 cont 3 teorias xyzcap 2 cont 3 teorias xyz
cap 2 cont 3 teorias xyz
 
Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1Sistemas de seguridad capitulo 1
Sistemas de seguridad capitulo 1
 
Emprendedurismo capitulo 2
Emprendedurismo capitulo 2Emprendedurismo capitulo 2
Emprendedurismo capitulo 2
 
Emprendedurismo capitulo 1
Emprendedurismo capitulo 1Emprendedurismo capitulo 1
Emprendedurismo capitulo 1
 

Sistemas de seguridad capitulo 2

  • 1. Seguridad Informática CARRERA DE INGENIERIA EN INFORMATICA
  • 2. No solo las amenazas que surgen de la programación y el funcionamiento de un dispositivo de almacenamiento, transmisión o proceso deben ser consideradas, también hay otras circunstancias que deben ser tenidas en cuenta, incluso «no informáticas». Capítulo 2: Seguridad de la Información Muchas son a menudo imprevisibles o inevitables, de modo que las únicas protecciones posibles son las redundancias y la descentralización, por ejemplo mediante determinadas estructuras de redes en el caso de las comunicaciones o servidores en clúster para la disponibilidad. Amenazas
  • 3. Las amenazas pueden ser causadas por:  Usuarios: Sus acciones causan problemas de seguridad, por permisos sobredimensionados.  Programas maliciosos:. Estos pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica, un programa espía o spyware, en general conocidos como malware.  Un siniestro (robo, incendio, inundación): una mala manipulación.  Fallos electrónicos o lógicos de los sistemas informáticos en general.  Intrusos: Personas no autorizadas (crackers, defacers, hackers, script kiddie o script boy, viruxers, etc.).  Errores de programación: Por su condición de poder ser usados como exploits por los crackers, aunque el mal desarrollo es, en sí mismo, una amenaza.  Personal técnico interno: Disputas internas, problemas laborales, despidos, fines lucrativos, espionaje, etc.  Catástrofes naturales: rayos, terremotos, inundacion es, rayos cósmicos, etc. Capítulo 2: Seguridad de la Información
  • 4. Capítulo 2: Seguridad de la Información Tipos de Amenazas:  Amenazas por el origen: Conectar una red a un entorno externo hace que algún atacante pueda ingresar y hacer robo de información o alterar el funcionamiento de la red. Estas se dividen en: Amenazas internas: Si es por usuarios o personal técnico. Amenazas externas: Rosetas accesibles, redes inalámbricas desprotegidas, equipos sin vigilancia, etc.  Amenazas por el efecto: Robo de información. Destrucción de información. Anulación del funcionamiento de los sistemas o efectos que tiendan a ello. Suplantación de la identidad, publicidad de datos personales o confidenciales, cambio de información, venta de datos personales, etc. Robo de dinero, estafas.  Amenazas por el medio utilizado: Virus informático: malware , Phishing. Ingeniería social. Denegación de servicio. Spoofing.
  • 5. Riesgo Se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo. Un riesgo conlleva dos tipos de consecuencias: ganancias o pérdidas. En tecnología, el riesgo se plantea solamente como amenaza, determinando el grado de exposición a la ocurrencia de una pérdida (por ejemplo el riesgo de perder datos debido a rotura de disco, virus informáticos, etc.). También se define como: “La probabilidad de que una amenaza se materialice, utilizando vulnerabilidad existentes de un activo o un grupo de activos, generándole perdidas o daños”. Capítulo 2: Seguridad de la Información
  • 6. En la definición anterior se pueden identificar varios elementos que se deben comprender adecuadamente para, por ende, comprender integralmente el concepto de riesgo manejado. Estos elementos son: probabilidad, amenazas, vulnerabilidades, activos e impactos. bbb Capítulo 2: Seguridad de la Información
  • 7. Definiciones:  Probabilidad: Establecer la probabilidad de ocurrencia puede realizarse de manera cuantitativa o cualitativa, pero siempre considerando que la medida no debe contemplar la existencia de ninguna acción paliativa, o sea, debe considerarse en cada caso qué posibilidades existen que la amenaza se presente independientemente del hecho que sea o no contrarrestada.  Amenazas: Son aquellas acciones que pueden ocasionar consecuencias negativas en la operativa de la empresa..  Vulnerabilidades: Condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen, llevan a esos activos a ser vulnerables. Mediante el uso de las debilidades existentes las amenazas logran materializarse, estas siempre están presentes, pero sin la identificación de una vulnerabilidad no podrán ocasionar ningún impacto. Las vulnerabilidades son de naturaleza variada: Ej: Falta de conocimiento del usuario, tecnología inadecuadamente probada (“testeada”), transmisión por redes públicas, etc. Una vulnerabilidad común es contar con antivirus no actualizado. Capítulo 2: Seguridad de la Información
  • 8.  Activos: Los activos a reconocer son aquellos relacionados con sistemas de información. Ejemplos típicos son los datos, el hardware, el software, servicios, documentos, edificios y recursos humanos  Impactos: Las consecuencias de la ocurrencia de las distintas amenazas son siempre negativas. Las pérdidas generadas pueden ser financieras, no financieras, de corto plazo o de largo plazo. Capítulo 2: Seguridad de la Información
  • 9.  Identificación de los activos.  Identificación de los requisitos legales y de negocios que son relevantes para la identificación de los activos.  Valoración de los activos identificados.  Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad.  Identificación de las amenazas y vulnerabilidades importantes para los activos identificados.  Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.  Cálculo del riesgo.  Evaluación de los riesgos frente a una escala de riesgo preestablecidos.  Evaluación de los riesgos frente a una escala de riesgo preestablecidos.  Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser:  Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.  Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo.  Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero.  Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto se acepta. La evaluación del riesgo incluye las siguientes actividades y acciones: Capítulo 2: Seguridad de la Información
  • 10. Ejemplo Práctico Capítulo 2: Seguridad de la Información