SlideShare una empresa de Scribd logo

Margerit

Descargar como PPT, PDF
J
Johan Retos

Catalagos de elementos de margerit Refernetes a las Gestion de riesto de TI

Tecnología
1 de 36
CATALAGOS DE ELEMENTOS DE MARGERIT Johan Roque castro
CATALOGO DE ELEMENTOS Facilitar la labor de las personas que acometen el proyecto Homogeneizar los resultados
TIPOS DE ACTIVOS Activos Esenciales: La información Los servicios
INFORMACION Datos VitalesDatos Vitales Datos de Carácter PersonalDatos de Carácter Personal Datos ClasificadosDatos Clasificados (A)Nivel Alto (B)Nivel Bajo (M)Nivel Medio [C] nivel confidencial [R] difusión limitada [UC] sin clasificar [PUB] de carácter pública Esenciales para supervivencia de la Organización
ARQUITECTURA DEL SISTEMA Permiten estructurar el sistema, definiendo su Arquitectura interna sus Relaciones con el exterior. [SAP] punto de [acceso al] servicio [IP] punto de interconexión [EXT] proporcionado por terceros: cuando para la prestación de nuestros servicios recurrimos a un tercero.
DATOS/INFORMACION  [test] datos de prueba  [backup] copias de respaldo  [exe] código ejecutable  [source] código fuente  [test] datos de prueba  [password] credenciales  [files] ficheros registro de actividad: validación de credenciales
CLAVES CRIPTOGRAFICAS: Se emplea para proteger el secreto o autenticar a las partes • Claves de cifra y firma • secreto compartido (clave simétrica) • clave pública de cifra y firma • clave privada de descifrado • Clave publica de verificación de firma • claves de cifrado del canal • claves de autenticación • claves de verificación de autenticación • claves de cifra Protección de la información Protección de comunicaciones [disk] cifrado de soportes de información [x509] certificados de clave pública
SERVICIOS Función que satisface una necesidad de los usuarios (del servicio). anónimo (sin requerir identificación del usuario) a usuarios externos (bajo una relación contractual) Almacenamiento y transferencia de ficheros correo electrónico
SOFTWARE- APLICACIONES INFORMATICAS Tareas que han sido automatizadas para su desempeño por un equipo informático desarrollo propio (in house) desarrollo a medida (subcontratado) estándar (off the shelf) servidor de aplicaciones servidor de correo electrónico sistema operativo sistema de backup
EQUIPAMIENTO INFORMATICO (HARDWARE) Medios materiales, físicos, destinados a soportar directa O indirectamente los servicios que presta la organización, grandes equipos informática personal informática móvil periféricos medios de impresión escáneres dispositivos soporte de la red Modem conmutadores encaminadores cortafuegos
REDES DE COMUNICACIONES Incluyendo tanto instalaciones Dedicadas como servicios De comunicaciones contratados a terceros; pero siempre centrándose en que son medios de transporte que llevan datos de un sitio a otro. red telefónica RDSI (red digital) X25 (red de datos) ADSL punto a punto comunicaciones radio red inalámbrica telefonía móvil por satélite red local
SOPORTES DEINFORMACION: Dispositivos físicos que permiten almacenar in formación de forma permanente o, al menos, durante largos periodos de tiempo Electrónicos Discos discos virtuales almacenamiento en red disquetes cederrón (CD-ROM) memorias USB DVD cinta magnética tarjetas de memoria No Electrónicos material impreso cinta de papel tarjetas perforadas
EQUIPAMIENTO AUXILIAR Consideran otros equipos que sirven de soporte a los sistemas de información, sin estar directamente Relacionados con datos fuentes de alimentación sistemas de alimentación ininterrumpida generadores eléctricos equipos de climatización cableado cable eléctrico fibra óptica mobiliario: armarios, etc cajas fuerte
INSTALACIONES Lugares donde se Hospedan los sistemas De información Y comunicaciones recinto edificio cuarto plataformas móviles vehículo terrestre: coche, etc. vehículo aéreo: avión, etc. vehículo marítimo: lancha, etc. contenedores canalización instalaciones de respaldo
PERSONAS Relacionadas con los sistemas de información usuarios externos usuarios internos operadores administradores de sistemas administradores de comunicaciones  administradores de BBDD administradores de seguridad desarrolladores / programadores Subcontratas proveedores
Dimensiones de Valoración  Características o atributo que hacen valioso un activo.
Criterios de Valoración una escala detallada de diez valores
AMENAZAS Causa potencial de un incidente que puede causar daños a un sistema de información o a una organización. [UNE 71504:2008]
Valoración de las Amenazas Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuantía. Una vez determinado que una amenaza puede perjudicar a un activo, hay que valorar su influencia en el valor del activo, en dos sentidos:
Degradación: cuán perjudicado resultaría el [valor del] activo. Mide el daño causado por un incidente en el supuesto de que ocurriera. La degradación se suele caracterizar como una fracción del valor del activo y así aparecen expresiones como que un activo se ha visto “totalmente degradado”, o “degradado en una pequeña fracción”.
MA Muy alta Casi seguro Fácil A Alta Muy alto medio M Media posible difícil B baja Poco probable Muy difícil MB Muy baja Muy caro Extremadamente difícil
Probabilidad: cuán probable o improbable es que se materialice la amenaza. La probabilidad de ocurrencia es más compleja de determinar y de expresar. A veces se modela cualitativamente por medio de alguna escala nominal. A veces se modela numéricamente como una frecuencia de ocurrencia. Es habitual usar 1 año como referencia, de forma que se recurre a la tasa anual de ocurrencia como medida de la probabilidad de que algo ocurra. Son valores típicos:
MA 100 Muy frecuente A diario A 10 Frecuente mensualmente M 1 Normal una vez al año B 1/10 Poco frecuente cada varios años MB 1/100 Muy poco frecuente siglos
Se presenta a continuación un catálogo de amenazas posibles sobre los activos de un sistema de información. Para cada amenaza se presenta un cuadro como el siguiente: [código] descripción sucinta de l o que puede pasar Ti pos de activos:  que se pueden ver afectados por este tipo de amenazas Dimensiones: de seguridad que se pueden ver afecta das por este tipo de amenaza, ordenadas de más a menos relevante Descripción: complementaria o más detallada de la amenaza: lo que le puede ocurrir a activos del tipo indicado con las consecuencias indicadas
1. Desastres naturales Sucesos que pueden ocurrir sin intervención de los seres humanos como causa directa o indirecta. Origen: Natural (accidental) 1.1. Fuego 1.2.Daños por agua 1.3. Desastres naturales
2. De origen industrial Sucesos que pueden ocurrir de forma accidental, derivados de la actividad humana de tipo industrial. Estas amenazas pueden darse de forma accidental o deliberada. 2.1. Fuego 2.2.Daños por agua 2.3.Desastres industriales 2.4.Contaminación mecánica 2.5.Contaminación electromagnética 2.6.Avería de origen físico o lógico 2.7.Corte del suministro eléctrico 2.8.Condiciones inadecuadas de temperatura o humedad 2.9.Fallo de servicios de comunicaciones 2.10.Interrupción de otros servicios y suministros esenciales 2.11.Degradación de los soportes de almacenamiento de la información 2.12.Emanaciones electromagnéticas
3. Errores y fallos no intencionados Fallos no intencionales causados por las personas. La numeración no es consecutiva, sino que está alineada con los ataques deliberados, muchas veces de naturaleza similar a los errores no intencionados, difiriendo únicamente en el propósito del sujeto. Origen: Humano (accidental)
1.Errores de los usuarios 2.Errores del administrador 3.Errores de monitorización (log) 4.Errores de configuración 5.Difusión de software dañino 6.Errores de [re-]encaminamiento 7.Errores de secuencia 8.Alteración accidental de la información 9.Destrucción de información 10.Fugas de información 11.Vulnerabilidades de los programas (software) 12.Errores de mantenimiento / actualización de programas (software) 13.Errores de mantenimiento / actualización de equipos (hardware) 14.Caída del sistema por agotamiento de recursos 15.Pérdida de equipos 16.Indisponibilidad del personal
4. Ataques intencionados Fallos deliberados causados por las personas. La numeración no es consecutiva para coordinarla con los errores no intencionados, muchas ve ces de naturaleza similar a los ataques deliberados, difiriendo únicamente en el propósito del sujeto. Origen: Humano (deliberado) 1.Manipulación de los registros de actividad (log) 2.Manipulación de la configuración 3.Suplantación de la identidad del usuario 4.Abuso de privilegios de acceso 5.Uso no previsto 6.Difusión de software dañino 7.Encaminamiento de mensajes 8.Alteración de secuencia
9.Acceso no autorizado 10.Análisis de tráfico 11.Repudio 12.Interceptación de información (escucha) 13.Modificación deliberada de la información 14.Destrucción de información 15.Divulgación de información 16.Manipulación de programas 17.Manipulación de los equipos 18.Denegación de servicio 19.Robo 20.Ataque destructivo 21.Ocupación enemiga 22.Indisponibilidad del personal 23.Extorsión 24.Ingeniería social (picaresca)
SALVAGUARDAS Se definen las salvaguardas o contra medidas como aquellos procedimientos o mecanismos tecnológicos que reducen el riesgo.
Ante el amplio abanico de posibles salvaguardas a considerar, se deben tener en cuenta los siguientes aspectos: Tipo de activos a proteger, pues cada tipo se protege de una forma específica. Dimensión o dimensiones de seguridad que requieren protección. Amenazas de las que necesitamos protegernos. Si existen salvaguardas alternativas.
Existen diferentes tipos de salvaguardas que tienen un efecto de reducción de degradación y de la probabilidad.
Valoración de salvaguardas Las salvaguardas se caracterizan, además de por su existencia, por su eficacia frente al riesgo. Entre una eficacia del 0% para aquellas que faltan y el 100% para aquellas que son idóneas y que están perfectamente implantadas, se estimará un grado de eficacia real en cada caso concreto. Se puede emplear una escala de madurez que recoja en forma de factor corrector la confianza que merece el proceso de gestión de la salvaguarda.
Identificación y valoración de salvaguardas de la tienda

Recomendados

Dsei acd cujp_presentación
Dsei acd cujp_presentaciónDsei acd cujp_presentación
Dsei acd cujp_presentaciónCuauhtémoc Jiménez-Pérez
 
Presentación marielaweb2.0
Presentación marielaweb2.0Presentación marielaweb2.0
Presentación marielaweb2.0Mariela Piña Melendez
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosAranda Software
 
Material de apoyo clase 4 para el análisis de riesgo
Material de apoyo clase 4 para el análisis de riesgoMaterial de apoyo clase 4 para el análisis de riesgo
Material de apoyo clase 4 para el análisis de riesgoUPTM
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4rayudi
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaMini0986
 
5to
5to5to
5tonatylindis
 
Riesgos, seguridad y prevención ante desastres.pptx.pdf
Riesgos, seguridad y prevención ante desastres.pptx.pdfRiesgos, seguridad y prevención ante desastres.pptx.pdf
Riesgos, seguridad y prevención ante desastres.pptx.pdfMAICOLALEXANDERMORAV
 

Recomendados

Dsei acd cujp_presentación
Dsei acd cujp_presentaciónDsei acd cujp_presentación
Dsei acd cujp_presentaciónCuauhtémoc Jiménez-Pérez
 
Presentación marielaweb2.0
Presentación marielaweb2.0Presentación marielaweb2.0
Presentación marielaweb2.0Mariela Piña Melendez
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosAranda Software
 
Material de apoyo clase 4 para el análisis de riesgo
Material de apoyo clase 4 para el análisis de riesgoMaterial de apoyo clase 4 para el análisis de riesgo
Material de apoyo clase 4 para el análisis de riesgoUPTM
 
Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4Presentacion seguriad informatica grupo 4
Presentacion seguriad informatica grupo 4rayudi
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaMini0986
 
5to
5to5to
5tonatylindis
 
Riesgos, seguridad y prevención ante desastres.pptx.pdf
Riesgos, seguridad y prevención ante desastres.pptx.pdfRiesgos, seguridad y prevención ante desastres.pptx.pdf
Riesgos, seguridad y prevención ante desastres.pptx.pdfMAICOLALEXANDERMORAV
 
Valoración de riesgos
Valoración de riesgosValoración de riesgos
Valoración de riesgosLeonel Ibarra
 
Presentación1
Presentación1Presentación1
Presentación1EDGAR TOALOMBO
 
Presentación1
Presentación1Presentación1
Presentación1EDGAR TOALOMBO
 
Presentacic3b3n de-tic
Presentacic3b3n de-ticPresentacic3b3n de-tic
Presentacic3b3n de-ticEstebanGonzalez153
 
Taller - Gestión de Activos.pptx
Taller - Gestión de Activos.pptxTaller - Gestión de Activos.pptx
Taller - Gestión de Activos.pptxNellyMoya1
 
seguridad informática
seguridad informática seguridad informática
seguridad informáticaEder Martin Shapiama
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informáticaPedro Cobarrubias
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informáticaPedro Cobarrubias
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICAAlejandro Quevedo
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICAAlejandro Quevedo
 
Presentacion_1
Presentacion_1Presentacion_1
Presentacion_1Curso de Seguridad Ufg
 
etica en las redes sociales
etica en las redes socialesetica en las redes sociales
etica en las redes socialesfrancoPuicanAnhuaman
 
Tarea 2
Tarea 2Tarea 2
Tarea 2Michelle Gonxalez
 
Análisis y Gestión de Riesgos
Análisis y Gestión de RiesgosAnálisis y Gestión de Riesgos
Análisis y Gestión de RiesgosTensor
 
Analisis de Riesgos
Analisis de RiesgosAnalisis de Riesgos
Analisis de RiesgosTensor
 
Seguridad Informatica
Seguridad Informatica Seguridad Informatica
Seguridad Informatica Alejandro Quevedo
 
SEGURIDAD EN REDES
SEGURIDAD EN REDESSEGURIDAD EN REDES
SEGURIDAD EN REDESindependiente
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informáticaJorgewladimirgrandaalban
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaPedro Trelles Araujo
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaCarolina Cols
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 

Más contenido relacionado

Similar a Margerit

Valoración de riesgos
Valoración de riesgosValoración de riesgos
Valoración de riesgosLeonel Ibarra
 
Taller - Gestión de Activos.pptx
Taller - Gestión de Activos.pptxTaller - Gestión de Activos.pptx
Taller - Gestión de Activos.pptxNellyMoya1
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informáticaPedro Cobarrubias
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informáticaPedro Cobarrubias
 
Análisis y Gestión de Riesgos
Análisis y Gestión de RiesgosAnálisis y Gestión de Riesgos
Análisis y Gestión de RiesgosTensor
 
Analisis de Riesgos
Analisis de RiesgosAnalisis de Riesgos
Analisis de RiesgosTensor
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaCarolina Cols
 

Similar a Margerit (20)

Valoración de riesgos
Valoración de riesgosValoración de riesgos
Valoración de riesgos
 
Presentación1
Presentación1Presentación1
Presentación1
 
Presentación1
Presentación1Presentación1
Presentación1
 
Presentacic3b3n de-tic
Presentacic3b3n de-ticPresentacic3b3n de-tic
Presentacic3b3n de-tic
 
Taller - Gestión de Activos.pptx
Taller - Gestión de Activos.pptxTaller - Gestión de Activos.pptx
Taller - Gestión de Activos.pptx
 
seguridad informática
seguridad informática seguridad informática
seguridad informática
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informática
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informática
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Presentacion_1
Presentacion_1Presentacion_1
Presentacion_1
 
etica en las redes sociales
etica en las redes socialesetica en las redes sociales
etica en las redes sociales
 
Tarea 2
Tarea 2Tarea 2
Tarea 2
 
Análisis y Gestión de Riesgos
Análisis y Gestión de RiesgosAnálisis y Gestión de Riesgos
Análisis y Gestión de Riesgos
 
Analisis de Riesgos
Analisis de RiesgosAnalisis de Riesgos
Analisis de Riesgos
 
Seguridad Informatica
Seguridad Informatica Seguridad Informatica
Seguridad Informatica
 
SEGURIDAD EN REDES
SEGURIDAD EN REDESSEGURIDAD EN REDES
SEGURIDAD EN REDES
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informática
 

Último

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 

Último (10)

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 

Margerit

  • 1. CATALAGOS DE ELEMENTOS DE MARGERIT Johan Roque castro
  • 2. CATALOGO DE ELEMENTOS Facilitar la labor de las personas que acometen el proyecto Homogeneizar los resultados
  • 3. TIPOS DE ACTIVOS Activos Esenciales: La información Los servicios
  • 4. INFORMACION Datos VitalesDatos Vitales Datos de Carácter PersonalDatos de Carácter Personal Datos ClasificadosDatos Clasificados (A)Nivel Alto (B)Nivel Bajo (M)Nivel Medio [C] nivel confidencial [R] difusión limitada [UC] sin clasificar [PUB] de carácter pública Esenciales para supervivencia de la Organización
  • 5. ARQUITECTURA DEL SISTEMA Permiten estructurar el sistema, definiendo su Arquitectura interna sus Relaciones con el exterior. [SAP] punto de [acceso al] servicio [IP] punto de interconexión [EXT] proporcionado por terceros: cuando para la prestación de nuestros servicios recurrimos a un tercero.
  • 6. DATOS/INFORMACION  [test] datos de prueba  [backup] copias de respaldo  [exe] código ejecutable  [source] código fuente  [test] datos de prueba  [password] credenciales  [files] ficheros registro de actividad: validación de credenciales
  • 7. CLAVES CRIPTOGRAFICAS: Se emplea para proteger el secreto o autenticar a las partes • Claves de cifra y firma • secreto compartido (clave simétrica) • clave pública de cifra y firma • clave privada de descifrado • Clave publica de verificación de firma • claves de cifrado del canal • claves de autenticación • claves de verificación de autenticación • claves de cifra Protección de la información Protección de comunicaciones [disk] cifrado de soportes de información [x509] certificados de clave pública
  • 8. SERVICIOS Función que satisface una necesidad de los usuarios (del servicio). anónimo (sin requerir identificación del usuario) a usuarios externos (bajo una relación contractual) Almacenamiento y transferencia de ficheros correo electrónico
  • 9. SOFTWARE- APLICACIONES INFORMATICAS Tareas que han sido automatizadas para su desempeño por un equipo informático desarrollo propio (in house) desarrollo a medida (subcontratado) estándar (off the shelf) servidor de aplicaciones servidor de correo electrónico sistema operativo sistema de backup
  • 10. EQUIPAMIENTO INFORMATICO (HARDWARE) Medios materiales, físicos, destinados a soportar directa O indirectamente los servicios que presta la organización, grandes equipos informática personal informática móvil periféricos medios de impresión escáneres dispositivos soporte de la red Modem conmutadores encaminadores cortafuegos
  • 11. REDES DE COMUNICACIONES Incluyendo tanto instalaciones Dedicadas como servicios De comunicaciones contratados a terceros; pero siempre centrándose en que son medios de transporte que llevan datos de un sitio a otro. red telefónica RDSI (red digital) X25 (red de datos) ADSL punto a punto comunicaciones radio red inalámbrica telefonía móvil por satélite red local
  • 12. SOPORTES DEINFORMACION: Dispositivos físicos que permiten almacenar in formación de forma permanente o, al menos, durante largos periodos de tiempo Electrónicos Discos discos virtuales almacenamiento en red disquetes cederrón (CD-ROM) memorias USB DVD cinta magnética tarjetas de memoria No Electrónicos material impreso cinta de papel tarjetas perforadas
  • 13. EQUIPAMIENTO AUXILIAR Consideran otros equipos que sirven de soporte a los sistemas de información, sin estar directamente Relacionados con datos fuentes de alimentación sistemas de alimentación ininterrumpida generadores eléctricos equipos de climatización cableado cable eléctrico fibra óptica mobiliario: armarios, etc cajas fuerte
  • 14. INSTALACIONES Lugares donde se Hospedan los sistemas De información Y comunicaciones recinto edificio cuarto plataformas móviles vehículo terrestre: coche, etc. vehículo aéreo: avión, etc. vehículo marítimo: lancha, etc. contenedores canalización instalaciones de respaldo
  • 15. PERSONAS Relacionadas con los sistemas de información usuarios externos usuarios internos operadores administradores de sistemas administradores de comunicaciones  administradores de BBDD administradores de seguridad desarrolladores / programadores Subcontratas proveedores
  • 16. Dimensiones de Valoración  Características o atributo que hacen valioso un activo.
  • 17. Criterios de Valoración una escala detallada de diez valores
  • 18. AMENAZAS Causa potencial de un incidente que puede causar daños a un sistema de información o a una organización. [UNE 71504:2008]
  • 19. Valoración de las Amenazas Cuando un activo es víctima de una amenaza, no se ve afectado en todas sus dimensiones, ni en la misma cuantía. Una vez determinado que una amenaza puede perjudicar a un activo, hay que valorar su influencia en el valor del activo, en dos sentidos:
  • 20. Degradación: cuán perjudicado resultaría el [valor del] activo. Mide el daño causado por un incidente en el supuesto de que ocurriera. La degradación se suele caracterizar como una fracción del valor del activo y así aparecen expresiones como que un activo se ha visto “totalmente degradado”, o “degradado en una pequeña fracción”.
  • 21. MA Muy alta Casi seguro Fácil A Alta Muy alto medio M Media posible difícil B baja Poco probable Muy difícil MB Muy baja Muy caro Extremadamente difícil
  • 22. Probabilidad: cuán probable o improbable es que se materialice la amenaza. La probabilidad de ocurrencia es más compleja de determinar y de expresar. A veces se modela cualitativamente por medio de alguna escala nominal. A veces se modela numéricamente como una frecuencia de ocurrencia. Es habitual usar 1 año como referencia, de forma que se recurre a la tasa anual de ocurrencia como medida de la probabilidad de que algo ocurra. Son valores típicos:
  • 23. MA 100 Muy frecuente A diario A 10 Frecuente mensualmente M 1 Normal una vez al año B 1/10 Poco frecuente cada varios años MB 1/100 Muy poco frecuente siglos
  • 24. Se presenta a continuación un catálogo de amenazas posibles sobre los activos de un sistema de información. Para cada amenaza se presenta un cuadro como el siguiente: [código] descripción sucinta de l o que puede pasar Ti pos de activos:  que se pueden ver afectados por este tipo de amenazas Dimensiones: de seguridad que se pueden ver afecta das por este tipo de amenaza, ordenadas de más a menos relevante Descripción: complementaria o más detallada de la amenaza: lo que le puede ocurrir a activos del tipo indicado con las consecuencias indicadas
  • 25. 1. Desastres naturales Sucesos que pueden ocurrir sin intervención de los seres humanos como causa directa o indirecta. Origen: Natural (accidental) 1.1. Fuego 1.2.Daños por agua 1.3. Desastres naturales
  • 26. 2. De origen industrial Sucesos que pueden ocurrir de forma accidental, derivados de la actividad humana de tipo industrial. Estas amenazas pueden darse de forma accidental o deliberada. 2.1. Fuego 2.2.Daños por agua 2.3.Desastres industriales 2.4.Contaminación mecánica 2.5.Contaminación electromagnética 2.6.Avería de origen físico o lógico 2.7.Corte del suministro eléctrico 2.8.Condiciones inadecuadas de temperatura o humedad 2.9.Fallo de servicios de comunicaciones 2.10.Interrupción de otros servicios y suministros esenciales 2.11.Degradación de los soportes de almacenamiento de la información 2.12.Emanaciones electromagnéticas
  • 27. 3. Errores y fallos no intencionados Fallos no intencionales causados por las personas. La numeración no es consecutiva, sino que está alineada con los ataques deliberados, muchas veces de naturaleza similar a los errores no intencionados, difiriendo únicamente en el propósito del sujeto. Origen: Humano (accidental)
  • 28. 1.Errores de los usuarios 2.Errores del administrador 3.Errores de monitorización (log) 4.Errores de configuración 5.Difusión de software dañino 6.Errores de [re-]encaminamiento 7.Errores de secuencia 8.Alteración accidental de la información 9.Destrucción de información 10.Fugas de información 11.Vulnerabilidades de los programas (software) 12.Errores de mantenimiento / actualización de programas (software) 13.Errores de mantenimiento / actualización de equipos (hardware) 14.Caída del sistema por agotamiento de recursos 15.Pérdida de equipos 16.Indisponibilidad del personal
  • 29. 4. Ataques intencionados Fallos deliberados causados por las personas. La numeración no es consecutiva para coordinarla con los errores no intencionados, muchas ve ces de naturaleza similar a los ataques deliberados, difiriendo únicamente en el propósito del sujeto. Origen: Humano (deliberado) 1.Manipulación de los registros de actividad (log) 2.Manipulación de la configuración 3.Suplantación de la identidad del usuario 4.Abuso de privilegios de acceso 5.Uso no previsto 6.Difusión de software dañino 7.Encaminamiento de mensajes 8.Alteración de secuencia
  • 30. 9.Acceso no autorizado 10.Análisis de tráfico 11.Repudio 12.Interceptación de información (escucha) 13.Modificación deliberada de la información 14.Destrucción de información 15.Divulgación de información 16.Manipulación de programas 17.Manipulación de los equipos 18.Denegación de servicio 19.Robo 20.Ataque destructivo 21.Ocupación enemiga 22.Indisponibilidad del personal 23.Extorsión 24.Ingeniería social (picaresca)
  • 31. SALVAGUARDAS Se definen las salvaguardas o contra medidas como aquellos procedimientos o mecanismos tecnológicos que reducen el riesgo.
  • 32. Ante el amplio abanico de posibles salvaguardas a considerar, se deben tener en cuenta los siguientes aspectos: Tipo de activos a proteger, pues cada tipo se protege de una forma específica. Dimensión o dimensiones de seguridad que requieren protección. Amenazas de las que necesitamos protegernos. Si existen salvaguardas alternativas.
  • 33. Existen diferentes tipos de salvaguardas que tienen un efecto de reducción de degradación y de la probabilidad.
  • 34. Valoración de salvaguardas Las salvaguardas se caracterizan, además de por su existencia, por su eficacia frente al riesgo. Entre una eficacia del 0% para aquellas que faltan y el 100% para aquellas que son idóneas y que están perfectamente implantadas, se estimará un grado de eficacia real en cada caso concreto. Se puede emplear una escala de madurez que recoja en forma de factor corrector la confianza que merece el proceso de gestión de la salvaguarda.
  • 35.
  • 36. Identificación y valoración de salvaguardas de la tienda