SlideShare una empresa de Scribd logo

Analisis de Riesgos

Descargar como PPT, PDF
Tensor
Tensor

Analisis de Riesgos

Educación
1 de 29
Estimación del grado de exposición de una amenaza sobre uno o más activos causando daños o perjuicios a la Organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.
Las amenazas son eventos que pueden producir daños materiales o inmateriales en los activos. Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño. Hay amenazas naturales (terremotos, inundaciones, ...) y desastres industriales o servicios (contaminación, fallos eléctricos, ...) ante los cuales el sistema de información es víctima. También hay amenazas causadas por las personas, bien errores o bien ataques intencionados.
Las políticas de seguridad son las prácticas, procedimientos o mecanismos que ayudan a reducir el riesgo. Políticas de seguridad
Gracias a este análisis de riesgos conoceremos el impacto económico de un fallo de seguridad y la probabilidad realista de que este ocurra .
Por ejemplo, imaginemos que una organización tiene un servidor que contiene información definida como de bajo valor.
Servidor
El objetivo principal de este proceso es establecer el marco general de referencia para todo el análisis. Esta etapa incluye la estimación de: Personal técnico: Personas cuya función es recabar la información y establecer las medidas necesarias para cumplir con el análisis. Usuarios: Son aquellas de quienes se recogerá la información dentro de la organización Recursos económicos necesarios para la ejecución. Definir los objetivos del proceso de análisis de riesgos. Tiempo estimado para realizar el análisis y elaborar las políticas. Podría ser con un diagrama de Gantt
Estimación del tiempo: debe ser realizado utilizando el Diagrama de Gantt, definiendo el tiempo necesario que se tomara el equipo en cada etapa o fase.
El entregable de esta etapa será un documento que describa a profundidad los aspectos antes mencionados, para tal fin se ofrece un modelo como ejemplo. Análisis y gestión de riesgos Etapa 1: Planificación Fecha: Objetivos: Personal: Técnico: Usuarios: Programador(es):______ Gerente:_____ Entrevistador(es):______ Secretaria:____ Entre otros:_____ Docentes: ____ Recursos
Se denomina activos a los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección. Conviene repetir que sólo interesan los recursos de los sistemas de información que tienen un valor para la Organización. A título de ejemplo, un servidor donde se encuentre almacenada toda información es un activo de mucho valor. Todo su valor es imputado: • la indisponibilidad, la interrupción del servicio es el valor de disponibilidad que se le imputará al servidor • el acceso no controlado al servidor pone en riesgo el secreto de los datos que presenta. • el coste que suponga la pérdida de confidencialidad de los datos es el valor de confidencialidad que se le imputará al servidor.
Quizás la mejor aproximación para identificar los activos sea preguntar directamente: • ¿Qué activos son fundamentales para que la organización consiga sus objetivos? •¿Hay más activos que se tengan que proteger por obligación ? • ¿Hay activos relacionados con los anteriores? No siempre es evidente identificar un activo. Si por ejemplo se tienen 300 puestos de trabajo o PC, todos idénticos a efectos de configuración y datos que manejan, no es conveniente analizar 300 activos idénticos. Basta analizar un PC genérico que cuya problemática representa la de todos. Agrupar simplifica el análisis. Otras veces se presenta el caso contrario, un servidor central que se encarga de varias funciones: servidor de archivos, de mensajería, de la intranet, del sistema de gestión documental y ... En este caso conviene segregar los servicios prestados y analizarlos por separado.
El entregable de esta etapa es la descripción de cada tipo de activo con su respectiva , función dentro de la organización entre algunos otros aspectos que sean importantes describir. Para ello se puede utilizar el siguiente formato: Análisis de riesgos Etapa 2: Identificación de activos Activo #: _____ Tipo de activo Físico: ____ Lógico:____ Nombre: Descripción:
Tipo de amenaza: Tipos de activos: Dimensiones: Descripción: Tipo de activo: Amenazas: Dimensiones: Descripción:
Cuando hablamos de las dimensiones, hacemos memoria y recordamos los principios de la seguridad de la información. Ellas son características o atributos que hacen valioso un activo. Las dimensiones se utilizan para valorar las consecuencias de la materialización de una amenaza. La valoración que recibe un activo en una cierta dimensión es la medida del perjuicio para la organización si el activo se ve dañado en dicha dimensión. Ellas son: Autenticidad Confidencialidad A ellos agregamos : Trazabilidad del servicio Integridad Trazabilidad de los datos. Disponibilidad
Llevándolas a la realidad, las dimensiones en un activo, las podemos definir así: • su autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace o ha hecho cada cosa? Esta valoración es típica de servicios (autenticidad del usuario) y de los datos (autenticidad de quien accede a los datos para escribir o, simplemente, consultar) • su confidencialidad: ¿qué daño causaría que lo conociera quien no debe? Esta valoración es típica de datos. • su integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto? Esta valoración es típica de los datos, que pueden estar manipulados, ser total o parcialmente falsos o, incluso, faltar datos. • su disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo? Esta valoración es típica de los servicios.
Ahora bien, en sistemas dedicados a la administración electrónica o al comercio electrónico, el conocimiento de los usuarios es fundamental para poder prestar el servicio correctamente y poder perseguir los fallos (accidentales o deliberados) que pudieran darse. En estos activos, además de la autenticidad, interesa calibrar la: • la trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se le presta tal servicio? O sea, ¿quién hace qué y cuándo? • la trazabilidad del acceso a los datos: ¿qué daño causaría no saber quién accede a qué datos y qué hace con ellos?
A continuación vemos un ejemplo sobre la determinación de las amenazas: Desastres naturales: Sucesos que pueden ocurrir sin intervención de los seres humanos como causa directa o indirecta. Tipo de amenaza: Fuego Tipos de activos: Computadoras Redes de comunicación Soportes de información Equipamiento auxiliar Instalaciones Dimensiones: Disponibilidad Descripción: Incendio: Posibilidad de que el fuego acabe con los recursos del sistema. En el material de apoyo encontrarán ejemplos sobre las amenazas más comunes y las dimensiones afectadas
Amenaza: Fallas no intencionales causados por los usuarios Tipos de activos: Datos/información Aplicaciones Dimensiones: Disponibilidad Integridad Riesgo : •Pérdida de la información. •Modificación de los datos a ser procesados. •Desconfiguración de alguna aplicación. Valor: 9 Daño grave para la organización, ya que implica pérdida de datos/información importantes para la organización. Descripción: Equivocaciones de las personas cuando usan los servicios, datos, etc. Estimación de los riesgos:
En el material de apoyo se describe la escala y los criterios los criterios asociados.
Valor Criterio 10 Muy alto Daño muy grave a la organización 7-9 alto Daño grave 4-6 medio Daño importante 1-3 bajo Daño menor 0 despreciable irrelevante Escala de valoración de riesgos:
El análisis de los riesgos es un paso importante para implementar la seguridad de la información. Se realiza para detectar los riesgos a los cuales están sometidos los activos en una organización, para saber cuál es la probabilidad de que una amenaza se concrete. La relación que existe entre la amenaza y el valor del riesgo, es la condición principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la corrección de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un análisis de riesgos.
A continuación se les hará entrega de un material, contentivo de casos de estudios con el objetivo de que sea analizados y se realicen algunas reflexiones.
Analisis de Riesgos

Recomendados

Clase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridadClase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridadRosaly Mendoza
 
Sistemas de información y Ciclos de vida
Sistemas de información y Ciclos de vidaSistemas de información y Ciclos de vida
Sistemas de información y Ciclos de vidaAcxel Quintero
 
Analisis y diseno
Analisis y disenoAnalisis y diseno
Analisis y disenomichelle_mc
 
Admon de proyectos kendall&kendall
Admon de proyectos kendall&kendallAdmon de proyectos kendall&kendall
Admon de proyectos kendall&kendallMelodyas
 
1.1 análisis y diseño de sistemas
1.1 análisis y diseño de sistemas1.1 análisis y diseño de sistemas
1.1 análisis y diseño de sistemasLinda Masias
 
Sistemas de información y ciclos de vida
Sistemas de información y ciclos de vidaSistemas de información y ciclos de vida
Sistemas de información y ciclos de vidaAcxel Quintero
 
Ciencias de la Informática
Ciencias de la InformáticaCiencias de la Informática
Ciencias de la InformáticaIliana Valera
 
Sistemas de Información General
Sistemas de Información GeneralSistemas de Información General
Sistemas de Información Generalyadira0816
 

Recomendados

Clase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridadClase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridadRosaly Mendoza
 
Sistemas de información y Ciclos de vida
Sistemas de información y Ciclos de vidaSistemas de información y Ciclos de vida
Sistemas de información y Ciclos de vidaAcxel Quintero
 
Analisis y diseno
Analisis y disenoAnalisis y diseno
Analisis y disenomichelle_mc
 
Admon de proyectos kendall&kendall
Admon de proyectos kendall&kendallAdmon de proyectos kendall&kendall
Admon de proyectos kendall&kendallMelodyas
 
1.1 análisis y diseño de sistemas
1.1 análisis y diseño de sistemas1.1 análisis y diseño de sistemas
1.1 análisis y diseño de sistemasLinda Masias
 
Sistemas de información y ciclos de vida
Sistemas de información y ciclos de vidaSistemas de información y ciclos de vida
Sistemas de información y ciclos de vidaAcxel Quintero
 
Ciencias de la Informática
Ciencias de la InformáticaCiencias de la Informática
Ciencias de la InformáticaIliana Valera
 
Sistemas de Información General
Sistemas de Información GeneralSistemas de Información General
Sistemas de Información Generalyadira0816
 
Sig introduccion
Sig introduccionSig introduccion
Sig introduccionLika07
 
Trabajo analisis y diseño de sistemas ll
Trabajo analisis y diseño de sistemas llTrabajo analisis y diseño de sistemas ll
Trabajo analisis y diseño de sistemas llUniQuindio
 
Diseño de Sistemas
Diseño de SistemasDiseño de Sistemas
Diseño de SistemasJUANESTEFA
 
Presentación Unidad 3: Análisis de las Necesidades del Sistema
Presentación Unidad 3: Análisis de las Necesidades del SistemaPresentación Unidad 3: Análisis de las Necesidades del Sistema
Presentación Unidad 3: Análisis de las Necesidades del SistemaMariana Marabay Alba
 
Ciclo de vida sistema de inf.
Ciclo de vida sistema de inf.Ciclo de vida sistema de inf.
Ciclo de vida sistema de inf.John Anthony Peraza
 
Ciclo de vida de un sistema de informacion
Ciclo de vida de un sistema de informacionCiclo de vida de un sistema de informacion
Ciclo de vida de un sistema de informacionMonica Naranjo
 
Planificación de un proyecto de software
Planificación de un proyecto de softwarePlanificación de un proyecto de software
Planificación de un proyecto de softwareMonica Naranjo
 
Metodología para el desarrollo de sistema de información según jeffrey whitten
Metodología para el desarrollo de sistema de información según jeffrey whittenMetodología para el desarrollo de sistema de información según jeffrey whitten
Metodología para el desarrollo de sistema de información según jeffrey whittentravesuras79
 
Definiciones de sistemas informaticos
Definiciones de sistemas informaticosDefiniciones de sistemas informaticos
Definiciones de sistemas informaticosPaola Borges
 
Proyecto final 3r parcial herramientas de info
Proyecto final 3r parcial herramientas de infoProyecto final 3r parcial herramientas de info
Proyecto final 3r parcial herramientas de infojuan_gregorio
 
Diseño de Sistemas
Diseño de SistemasDiseño de Sistemas
Diseño de SistemasKarenpenr
 
Proyecto final.
Proyecto final.Proyecto final.
Proyecto final.PerezRangelKarlaValeria13578
 
Analisis y diseño de sistemas de información clase 2
Analisis y diseño de sistemas de información clase 2Analisis y diseño de sistemas de información clase 2
Analisis y diseño de sistemas de información clase 2Sebas Castro
 
SISTEMAS DE INFORMACION
SISTEMAS DE INFORMACIONSISTEMAS DE INFORMACION
SISTEMAS DE INFORMACIONguestfb7b16
 
sistemas de infromacion
sistemas de infromacionsistemas de infromacion
sistemas de infromacionFinancieros2008
 
Diseño de sistemas
Diseño de sistemasDiseño de sistemas
Diseño de sistemasMirna Lozano
 
Definiciones de conceptos basicos de analisis de sistemas
Definiciones de conceptos basicos de analisis de sistemasDefiniciones de conceptos basicos de analisis de sistemas
Definiciones de conceptos basicos de analisis de sistemasPollo XD
 
Diseño físico y lógico de los sistemas de informacion
Diseño físico y lógico de los sistemas de informacionDiseño físico y lógico de los sistemas de informacion
Diseño físico y lógico de los sistemas de informacionYESENIA CETINA
 
Análisis de las necesidades de información de una organización
Análisis de las necesidades de información de una organizaciónAnálisis de las necesidades de información de una organización
Análisis de las necesidades de información de una organizaciónLourdes Castillo
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgosRosaly Mendoza
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgosUPTM
 
Establecimiento de niveles de riesgo de las politicas de seguridad
Establecimiento de niveles de riesgo de las politicas de seguridadEstablecimiento de niveles de riesgo de las politicas de seguridad
Establecimiento de niveles de riesgo de las politicas de seguridadYESENIA CETINA
 

Más contenido relacionado

La actualidad más candente

Sig introduccion
Sig introduccionSig introduccion
Sig introduccionLika07
 
Trabajo analisis y diseño de sistemas ll
Trabajo analisis y diseño de sistemas llTrabajo analisis y diseño de sistemas ll
Trabajo analisis y diseño de sistemas llUniQuindio
 
Diseño de Sistemas
Diseño de SistemasDiseño de Sistemas
Diseño de SistemasJUANESTEFA
 
Presentación Unidad 3: Análisis de las Necesidades del Sistema
Presentación Unidad 3: Análisis de las Necesidades del SistemaPresentación Unidad 3: Análisis de las Necesidades del Sistema
Presentación Unidad 3: Análisis de las Necesidades del SistemaMariana Marabay Alba
 
Ciclo de vida de un sistema de informacion
Ciclo de vida de un sistema de informacionCiclo de vida de un sistema de informacion
Ciclo de vida de un sistema de informacionMonica Naranjo
 
Planificación de un proyecto de software
Planificación de un proyecto de softwarePlanificación de un proyecto de software
Planificación de un proyecto de softwareMonica Naranjo
 
Metodología para el desarrollo de sistema de información según jeffrey whitten
Metodología para el desarrollo de sistema de información según jeffrey whittenMetodología para el desarrollo de sistema de información según jeffrey whitten
Metodología para el desarrollo de sistema de información según jeffrey whittentravesuras79
 
Definiciones de sistemas informaticos
Definiciones de sistemas informaticosDefiniciones de sistemas informaticos
Definiciones de sistemas informaticosPaola Borges
 
Proyecto final 3r parcial herramientas de info
Proyecto final 3r parcial herramientas de infoProyecto final 3r parcial herramientas de info
Proyecto final 3r parcial herramientas de infojuan_gregorio
 
Diseño de Sistemas
Diseño de SistemasDiseño de Sistemas
Diseño de SistemasKarenpenr
 
Analisis y diseño de sistemas de información clase 2
Analisis y diseño de sistemas de información clase 2Analisis y diseño de sistemas de información clase 2
Analisis y diseño de sistemas de información clase 2Sebas Castro
 
SISTEMAS DE INFORMACION
SISTEMAS DE INFORMACIONSISTEMAS DE INFORMACION
SISTEMAS DE INFORMACIONguestfb7b16
 
Diseño de sistemas
Diseño de sistemasDiseño de sistemas
Diseño de sistemasMirna Lozano
 
Definiciones de conceptos basicos de analisis de sistemas
Definiciones de conceptos basicos de analisis de sistemasDefiniciones de conceptos basicos de analisis de sistemas
Definiciones de conceptos basicos de analisis de sistemasPollo XD
 
Diseño físico y lógico de los sistemas de informacion
Diseño físico y lógico de los sistemas de informacionDiseño físico y lógico de los sistemas de informacion
Diseño físico y lógico de los sistemas de informacionYESENIA CETINA
 
Análisis de las necesidades de información de una organización
Análisis de las necesidades de información de una organizaciónAnálisis de las necesidades de información de una organización
Análisis de las necesidades de información de una organizaciónLourdes Castillo
 

La actualidad más candente (19)

Sig introduccion
Sig introduccionSig introduccion
Sig introduccion
 
Trabajo analisis y diseño de sistemas ll
Trabajo analisis y diseño de sistemas llTrabajo analisis y diseño de sistemas ll
Trabajo analisis y diseño de sistemas ll
 
Diseño de Sistemas
Diseño de SistemasDiseño de Sistemas
Diseño de Sistemas
 
Presentación Unidad 3: Análisis de las Necesidades del Sistema
Presentación Unidad 3: Análisis de las Necesidades del SistemaPresentación Unidad 3: Análisis de las Necesidades del Sistema
Presentación Unidad 3: Análisis de las Necesidades del Sistema
 
Ciclo de vida sistema de inf.
Ciclo de vida sistema de inf.Ciclo de vida sistema de inf.
Ciclo de vida sistema de inf.
 
Ciclo de vida de un sistema de informacion
Ciclo de vida de un sistema de informacionCiclo de vida de un sistema de informacion
Ciclo de vida de un sistema de informacion
 
Planificación de un proyecto de software
Planificación de un proyecto de softwarePlanificación de un proyecto de software
Planificación de un proyecto de software
 
Metodología para el desarrollo de sistema de información según jeffrey whitten
Metodología para el desarrollo de sistema de información según jeffrey whittenMetodología para el desarrollo de sistema de información según jeffrey whitten
Metodología para el desarrollo de sistema de información según jeffrey whitten
 
Definiciones de sistemas informaticos
Definiciones de sistemas informaticosDefiniciones de sistemas informaticos
Definiciones de sistemas informaticos
 
Proyecto final 3r parcial herramientas de info
Proyecto final 3r parcial herramientas de infoProyecto final 3r parcial herramientas de info
Proyecto final 3r parcial herramientas de info
 
Diseño de Sistemas
Diseño de SistemasDiseño de Sistemas
Diseño de Sistemas
 
Proyecto final.
Proyecto final.Proyecto final.
Proyecto final.
 
Analisis y diseño de sistemas de información clase 2
Analisis y diseño de sistemas de información clase 2Analisis y diseño de sistemas de información clase 2
Analisis y diseño de sistemas de información clase 2
 
SISTEMAS DE INFORMACION
SISTEMAS DE INFORMACIONSISTEMAS DE INFORMACION
SISTEMAS DE INFORMACION
 
sistemas de infromacion
sistemas de infromacionsistemas de infromacion
sistemas de infromacion
 
Diseño de sistemas
Diseño de sistemasDiseño de sistemas
Diseño de sistemas
 
Definiciones de conceptos basicos de analisis de sistemas
Definiciones de conceptos basicos de analisis de sistemasDefiniciones de conceptos basicos de analisis de sistemas
Definiciones de conceptos basicos de analisis de sistemas
 
Diseño físico y lógico de los sistemas de informacion
Diseño físico y lógico de los sistemas de informacionDiseño físico y lógico de los sistemas de informacion
Diseño físico y lógico de los sistemas de informacion
 
Análisis de las necesidades de información de una organización
Análisis de las necesidades de información de una organizaciónAnálisis de las necesidades de información de una organización
Análisis de las necesidades de información de una organización
 

Similar a Analisis de Riesgos

Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgosRosaly Mendoza
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgosUPTM
 
Establecimiento de niveles de riesgo de las politicas de seguridad
Establecimiento de niveles de riesgo de las politicas de seguridadEstablecimiento de niveles de riesgo de las politicas de seguridad
Establecimiento de niveles de riesgo de las politicas de seguridadYESENIA CETINA
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPablo
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaEli Castro
 
Unidad 7 desempeño y seguridad
Unidad 7 desempeño y seguridadUnidad 7 desempeño y seguridad
Unidad 7 desempeño y seguridadCarlos Martinez
 
Integridad de los Datos
Integridad de los DatosIntegridad de los Datos
Integridad de los DatosElsie Castro
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridadmia
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internetlesweid2404
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Manual de luz redes
Manual de luz redesManual de luz redes
Manual de luz redesmaryluz54
 
Administración de Riesgos Informáticos
Administración de Riesgos InformáticosAdministración de Riesgos Informáticos
Administración de Riesgos InformáticosVernicaQuinteroJimne
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticajuanskate545
 
Admón del riesgo en informática.
Admón del riesgo en informática.Admón del riesgo en informática.
Admón del riesgo en informática.carolina tovar
 
2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdfCloeCornejo
 

Similar a Analisis de Riesgos (20)

Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgos
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgos
 
Establecimiento de niveles de riesgo de las politicas de seguridad
Establecimiento de niveles de riesgo de las politicas de seguridadEstablecimiento de niveles de riesgo de las politicas de seguridad
Establecimiento de niveles de riesgo de las politicas de seguridad
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionales
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
 
Unidad 7 desempeño y seguridad
Unidad 7 desempeño y seguridadUnidad 7 desempeño y seguridad
Unidad 7 desempeño y seguridad
 
Integridad de los Datos
Integridad de los DatosIntegridad de los Datos
Integridad de los Datos
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridad
 
Seguridad en internet
Seguridad en internetSeguridad en internet
Seguridad en internet
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisica
 
Cap3
Cap3Cap3
Cap3
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informático
 
Manual de luz redes
Manual de luz redesManual de luz redes
Manual de luz redes
 
Administración de Riesgos Informáticos
Administración de Riesgos InformáticosAdministración de Riesgos Informáticos
Administración de Riesgos Informáticos
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Evidencia 2
Evidencia 2Evidencia 2
Evidencia 2
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informatica
 
Admón del riesgo en informática.
Admón del riesgo en informática.Admón del riesgo en informática.
Admón del riesgo en informática.
 
2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf
 

Más de Tensor

Libertad
LibertadLibertad
LibertadTensor
 
Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Tensor
 
Metodo de la bisección
Metodo de la bisecciónMetodo de la bisección
Metodo de la bisecciónTensor
 
Transito vehicular
Transito vehicularTransito vehicular
Transito vehicularTensor
 
Teoria de colas
Teoria de colasTeoria de colas
Teoria de colasTensor
 
Practica 7 2016
Practica 7 2016Practica 7 2016
Practica 7 2016Tensor
 
Practica 6 2016
Practica 6 2016Practica 6 2016
Practica 6 2016Tensor
 
Game maker
Game makerGame maker
Game makerTensor
 
Practica 5 2016
Practica 5 2016Practica 5 2016
Practica 5 2016Tensor
 
Procesamiento de archivos
Procesamiento de archivosProcesamiento de archivos
Procesamiento de archivosTensor
 
Cadenas y funciones de cadena
Cadenas y funciones de cadenaCadenas y funciones de cadena
Cadenas y funciones de cadenaTensor
 
Simulación en promodel clase 04
Simulación en promodel clase 04Simulación en promodel clase 04
Simulación en promodel clase 04Tensor
 
Reduccion de orden
Reduccion de ordenReduccion de orden
Reduccion de ordenTensor
 
Variación+de+parametros
Variación+de+parametrosVariación+de+parametros
Variación+de+parametrosTensor
 
Coeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónCoeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónTensor
 
Bernoulli y ricatti
Bernoulli y ricattiBernoulli y ricatti
Bernoulli y ricattiTensor
 
Practica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioPractica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioTensor
 
Clase 14 ondas reflejadas
Clase 14 ondas reflejadasClase 14 ondas reflejadas
Clase 14 ondas reflejadasTensor
 
Ondas em
Ondas emOndas em
Ondas emTensor
 
Clase 7 ondas electromagneticas
Clase 7 ondas electromagneticasClase 7 ondas electromagneticas
Clase 7 ondas electromagneticasTensor
 

Más de Tensor (20)

Libertad
LibertadLibertad
Libertad
 
Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)Método de la regla falsa (o metodo de la falsa posición)
Método de la regla falsa (o metodo de la falsa posición)
 
Metodo de la bisección
Metodo de la bisecciónMetodo de la bisección
Metodo de la bisección
 
Transito vehicular
Transito vehicularTransito vehicular
Transito vehicular
 
Teoria de colas
Teoria de colasTeoria de colas
Teoria de colas
 
Practica 7 2016
Practica 7 2016Practica 7 2016
Practica 7 2016
 
Practica 6 2016
Practica 6 2016Practica 6 2016
Practica 6 2016
 
Game maker
Game makerGame maker
Game maker
 
Practica 5 2016
Practica 5 2016Practica 5 2016
Practica 5 2016
 
Procesamiento de archivos
Procesamiento de archivosProcesamiento de archivos
Procesamiento de archivos
 
Cadenas y funciones de cadena
Cadenas y funciones de cadenaCadenas y funciones de cadena
Cadenas y funciones de cadena
 
Simulación en promodel clase 04
Simulación en promodel clase 04Simulación en promodel clase 04
Simulación en promodel clase 04
 
Reduccion de orden
Reduccion de ordenReduccion de orden
Reduccion de orden
 
Variación+de+parametros
Variación+de+parametrosVariación+de+parametros
Variación+de+parametros
 
Coeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposiciónCoeficientes indeterminados enfoque de superposición
Coeficientes indeterminados enfoque de superposición
 
Bernoulli y ricatti
Bernoulli y ricattiBernoulli y ricatti
Bernoulli y ricatti
 
Practica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicioPractica no. 3 tiempo de servicio
Practica no. 3 tiempo de servicio
 
Clase 14 ondas reflejadas
Clase 14 ondas reflejadasClase 14 ondas reflejadas
Clase 14 ondas reflejadas
 
Ondas em
Ondas emOndas em
Ondas em
 
Clase 7 ondas electromagneticas
Clase 7 ondas electromagneticasClase 7 ondas electromagneticas
Clase 7 ondas electromagneticas
 

Último

OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxjosetrinidadchavez
 
CULTURA NAZCA, presentación en aula para compartir
CULTURA NAZCA, presentación en aula para compartirCULTURA NAZCA, presentación en aula para compartir
CULTURA NAZCA, presentación en aula para compartirPaddySydney1
 
Día de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialDía de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialpatriciaines1993
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUgustavorojas179704
 
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxlclcarmen
 
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Carlos Muñoz
 
codigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinacodigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinavergarakarina022
 
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxLINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxdanalikcruz2000
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.José Luis Palma
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADOJosé Luis Palma
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoFundación YOD YOD
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFAROJosé Luis Palma
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPELaura Chacón
 

Último (20)

Unidad 3 | Teorías de la Comunicación | MCDI
Unidad 3 | Teorías de la Comunicación | MCDIUnidad 3 | Teorías de la Comunicación | MCDI
Unidad 3 | Teorías de la Comunicación | MCDI
 
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
 
CULTURA NAZCA, presentación en aula para compartir
CULTURA NAZCA, presentación en aula para compartirCULTURA NAZCA, presentación en aula para compartir
CULTURA NAZCA, presentación en aula para compartir
 
Power Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptxPower Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptx
 
Unidad 4 | Teorías de las Comunicación | MCDI
Unidad 4 | Teorías de las Comunicación | MCDIUnidad 4 | Teorías de las Comunicación | MCDI
Unidad 4 | Teorías de las Comunicación | MCDI
 
Sesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdfSesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdf
 
Día de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialDía de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundial
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
 
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
 
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
 
codigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karinacodigos HTML para blogs y paginas web Karina
codigos HTML para blogs y paginas web Karina
 
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxLINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
 
Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.Clasificaciones, modalidades y tendencias de investigación educativa.
Clasificaciones, modalidades y tendencias de investigación educativa.
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
 
Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.
 
Heinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativoHeinsohn Privacidad y Ciberseguridad para el sector educativo
Heinsohn Privacidad y Ciberseguridad para el sector educativo
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
 
La Trampa De La Felicidad. Russ-Harris.pdf
La Trampa De La Felicidad. Russ-Harris.pdfLa Trampa De La Felicidad. Russ-Harris.pdf
La Trampa De La Felicidad. Russ-Harris.pdf
 
Earth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversaryEarth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversary
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPE
 

Analisis de Riesgos

  • 1.
  • 2. Estimación del grado de exposición de una amenaza sobre uno o más activos causando daños o perjuicios a la Organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.
  • 3. Las amenazas son eventos que pueden producir daños materiales o inmateriales en los activos. Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño. Hay amenazas naturales (terremotos, inundaciones, ...) y desastres industriales o servicios (contaminación, fallos eléctricos, ...) ante los cuales el sistema de información es víctima. También hay amenazas causadas por las personas, bien errores o bien ataques intencionados.
  • 4. Las políticas de seguridad son las prácticas, procedimientos o mecanismos que ayudan a reducir el riesgo. Políticas de seguridad
  • 5.
  • 6. Gracias a este análisis de riesgos conoceremos el impacto económico de un fallo de seguridad y la probabilidad realista de que este ocurra .
  • 7. Por ejemplo, imaginemos que una organización tiene un servidor que contiene información definida como de bajo valor.
  • 9.
  • 10.
  • 11.
  • 12. El objetivo principal de este proceso es establecer el marco general de referencia para todo el análisis. Esta etapa incluye la estimación de: Personal técnico: Personas cuya función es recabar la información y establecer las medidas necesarias para cumplir con el análisis. Usuarios: Son aquellas de quienes se recogerá la información dentro de la organización Recursos económicos necesarios para la ejecución. Definir los objetivos del proceso de análisis de riesgos. Tiempo estimado para realizar el análisis y elaborar las políticas. Podría ser con un diagrama de Gantt
  • 13. Estimación del tiempo: debe ser realizado utilizando el Diagrama de Gantt, definiendo el tiempo necesario que se tomara el equipo en cada etapa o fase.
  • 14. El entregable de esta etapa será un documento que describa a profundidad los aspectos antes mencionados, para tal fin se ofrece un modelo como ejemplo. Análisis y gestión de riesgos Etapa 1: Planificación Fecha: Objetivos: Personal: Técnico: Usuarios: Programador(es):______ Gerente:_____ Entrevistador(es):______ Secretaria:____ Entre otros:_____ Docentes: ____ Recursos
  • 15. Se denomina activos a los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección. Conviene repetir que sólo interesan los recursos de los sistemas de información que tienen un valor para la Organización. A título de ejemplo, un servidor donde se encuentre almacenada toda información es un activo de mucho valor. Todo su valor es imputado: • la indisponibilidad, la interrupción del servicio es el valor de disponibilidad que se le imputará al servidor • el acceso no controlado al servidor pone en riesgo el secreto de los datos que presenta. • el coste que suponga la pérdida de confidencialidad de los datos es el valor de confidencialidad que se le imputará al servidor.
  • 16. Quizás la mejor aproximación para identificar los activos sea preguntar directamente: • ¿Qué activos son fundamentales para que la organización consiga sus objetivos? •¿Hay más activos que se tengan que proteger por obligación ? • ¿Hay activos relacionados con los anteriores? No siempre es evidente identificar un activo. Si por ejemplo se tienen 300 puestos de trabajo o PC, todos idénticos a efectos de configuración y datos que manejan, no es conveniente analizar 300 activos idénticos. Basta analizar un PC genérico que cuya problemática representa la de todos. Agrupar simplifica el análisis. Otras veces se presenta el caso contrario, un servidor central que se encarga de varias funciones: servidor de archivos, de mensajería, de la intranet, del sistema de gestión documental y ... En este caso conviene segregar los servicios prestados y analizarlos por separado.
  • 17. El entregable de esta etapa es la descripción de cada tipo de activo con su respectiva , función dentro de la organización entre algunos otros aspectos que sean importantes describir. Para ello se puede utilizar el siguiente formato: Análisis de riesgos Etapa 2: Identificación de activos Activo #: _____ Tipo de activo Físico: ____ Lógico:____ Nombre: Descripción:
  • 18. Tipo de amenaza: Tipos de activos: Dimensiones: Descripción: Tipo de activo: Amenazas: Dimensiones: Descripción:
  • 19. Cuando hablamos de las dimensiones, hacemos memoria y recordamos los principios de la seguridad de la información. Ellas son características o atributos que hacen valioso un activo. Las dimensiones se utilizan para valorar las consecuencias de la materialización de una amenaza. La valoración que recibe un activo en una cierta dimensión es la medida del perjuicio para la organización si el activo se ve dañado en dicha dimensión. Ellas son: Autenticidad Confidencialidad A ellos agregamos : Trazabilidad del servicio Integridad Trazabilidad de los datos. Disponibilidad
  • 20. Llevándolas a la realidad, las dimensiones en un activo, las podemos definir así: • su autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace o ha hecho cada cosa? Esta valoración es típica de servicios (autenticidad del usuario) y de los datos (autenticidad de quien accede a los datos para escribir o, simplemente, consultar) • su confidencialidad: ¿qué daño causaría que lo conociera quien no debe? Esta valoración es típica de datos. • su integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto? Esta valoración es típica de los datos, que pueden estar manipulados, ser total o parcialmente falsos o, incluso, faltar datos. • su disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo? Esta valoración es típica de los servicios.
  • 21. Ahora bien, en sistemas dedicados a la administración electrónica o al comercio electrónico, el conocimiento de los usuarios es fundamental para poder prestar el servicio correctamente y poder perseguir los fallos (accidentales o deliberados) que pudieran darse. En estos activos, además de la autenticidad, interesa calibrar la: • la trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se le presta tal servicio? O sea, ¿quién hace qué y cuándo? • la trazabilidad del acceso a los datos: ¿qué daño causaría no saber quién accede a qué datos y qué hace con ellos?
  • 22. A continuación vemos un ejemplo sobre la determinación de las amenazas: Desastres naturales: Sucesos que pueden ocurrir sin intervención de los seres humanos como causa directa o indirecta. Tipo de amenaza: Fuego Tipos de activos: Computadoras Redes de comunicación Soportes de información Equipamiento auxiliar Instalaciones Dimensiones: Disponibilidad Descripción: Incendio: Posibilidad de que el fuego acabe con los recursos del sistema. En el material de apoyo encontrarán ejemplos sobre las amenazas más comunes y las dimensiones afectadas
  • 23.
  • 24. Amenaza: Fallas no intencionales causados por los usuarios Tipos de activos: Datos/información Aplicaciones Dimensiones: Disponibilidad Integridad Riesgo : •Pérdida de la información. •Modificación de los datos a ser procesados. •Desconfiguración de alguna aplicación. Valor: 9 Daño grave para la organización, ya que implica pérdida de datos/información importantes para la organización. Descripción: Equivocaciones de las personas cuando usan los servicios, datos, etc. Estimación de los riesgos:
  • 25. En el material de apoyo se describe la escala y los criterios los criterios asociados.
  • 26. Valor Criterio 10 Muy alto Daño muy grave a la organización 7-9 alto Daño grave 4-6 medio Daño importante 1-3 bajo Daño menor 0 despreciable irrelevante Escala de valoración de riesgos:
  • 27. El análisis de los riesgos es un paso importante para implementar la seguridad de la información. Se realiza para detectar los riesgos a los cuales están sometidos los activos en una organización, para saber cuál es la probabilidad de que una amenaza se concrete. La relación que existe entre la amenaza y el valor del riesgo, es la condición principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la corrección de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un análisis de riesgos.
  • 28. A continuación se les hará entrega de un material, contentivo de casos de estudios con el objetivo de que sea analizados y se realicen algunas reflexiones.