Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Valoración de riesgos

1.200 visualizaciones

Publicado el

Valoración de riesgos

Publicado en: Educación
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Valoración de riesgos

  1. 1. Valoración de Riesgos Integrantes: Ibarra Barreto Milton Leonel Curso Virtual Ficha: 1090845 – GESTIÓN DE LA SEGURIDAD INFORMÁTICA Fecha: El Carmen, Ecuador Noviembre-15-2015 * LUIS FERNANDO MANRIQUE LÓPEZ
  2. 2. Informe: Análisis de caso: Simón III Siguiendo con el caso de Simón, y como asesor dela empresa y habiendo identificado los activos de información en la semana 3,Simón desea saber cuál es la valoración del riesgo presente en cada uno de los activos de la empresa y de qué manera puede aplicarlas normas y metodologías de seguridad informática. Identificación de activos. Tipo Definición Ejemplo Servicios Función que se realiza para satisfacer las necesidades de los usuarios. Servicios que se presentan para las necesidades dela colectividad Datos/información Elementos de información que de alguna forma, representan el conocimiento que se tiene Base de datos, reglamentos, Software Elementos que nos permiten automatizar las tareas, Programas, aplicativos. Equipos informáticos Bienes materiales, físicos, destinados a soportar servicios. Computadores, video. Etc. Hardware Dispositivos temporales o permanentes de los datos, soporte de las aplicaciones, proceso de la transmisión de datos. Impresora, beam, switche, etc. Redes de telecomunicaciones. Instalaciones dedicadas como servicios de telecomunicaciones, centrándose en que son medios de transporte que llevan datos de un lugar a otro Red local,internet,red telefónica, redes inalámbricas. Soportes de información Dispositivos físicos que permiten almacenar información de forma permanente Memorias USB, discos duros Instalaciones Lugar donde se hospedan los sistemas informáticos y comunicaciones Edificios, oficinas. Personal Personas relacionadas con los sistemas de información Administradores, usuarios.
  3. 3. Valoración de los activos. Identificación del riesgo. amenaza Descripción Fuego Incendios. Posibilidad que un incendio acabecon los recursos del sistema. Daños por agua Inundaciones.. Posibilidad queel agua acabe con los recursos del sistema Desastres naturales Rayos,tormenta eléctrica,terremoto, etc Contaminación electromagnética Interferencias de radio,campos magnéticos,luz ultravioleta. Avería de origen físico o lógico Fallasen los equipos,programas. Corte del suministro electico Cese de alimentación dela potencia eléctrica Fallos de servicios de comunicación Cese de la capacidad detransmitir datos deun sitio a otro Degradación de los soportes de almacenamiento de la información Por paso del tiempo Errores de usuario Equivocaciones delas personas usando los servicios. Errores de administración Equivocaciones depersonas con responsabilidades deinstalación y operación Difusión de software dañino Propagación inocentede virus,gusanos, troyanos,bombas lógica. Escapes de información La información llega accidentalmente al conocimiento de personas que no deberían Escala devaloración Valor Descripción MB: muy bajo 1 Irrelevante para efectos prácticos B: Bajo 2 Importancia menor para el desarrollo del proyecto M: Medio 3 Importante para el proyecto A: Alto 4 Altamente importante para el proyecto MA: Muy alto. 5 De vital importanciapara losobjetivos quese persigue. Escala devaloración Valor Descripción MB: muy bajo 1 0 a 500.00 B: Bajo 2 501.000 a 1.500.000 M: Medio 3 1.501.000 a 3.000.000 A: Alto 4 3.001.000 a 5.000.000 MA: Muy alto. 5 5.000.001 o mas
  4. 4. tener conocimiento de ella, sin que la información en sí misma se vea alterada Alteración de la información Alteración accidental de la información. Degradación de la información Esta amenaza sólo se identifica sobre datos en general, pues cuando la información está en algún soporte informático hay amenazas específicas. Divulgación de información Revelación por indiscreción, Incontinencia verbal, medios electrónicos, soporte papel. Suplantación de la identidad del usuario Cuando un atacante consigue hacerse pasar por un usuario autorizado, disfruta de los privilegios de este para sus fines propios Acceso no autorizado El atacante consigue acceder a los recursos del sistema sin tener autorización para ello, típicamente aprovechando un fallo del sistema de identificación y autorización. Modificación de la información Alteración intencional de la información, con ánimo de obtener un beneficio o causar un perjuicio. Ataque destructivo Vandalismo, terrorismo. Ingeniería social Abuso de la buena fe de las personas para que realicen actividades que interesan a un tercero
  5. 5. Valoración del riesgo. Matriz cualitativa. RIESGO VULNERABILIDAD PF FN F MF IMPACTO MA A MA MA MA A M A MA MA M B M A MA B MB B M A MB MB MB B M Matriz cuantitativa. Clase Valoración cualitativa Valoración cuantitativa Critico Muy alto 10 a 20 Grave Alto 5 a 9 Moderado Medio 4 a 6 Valor descripción Probabilidad dela ocurrencia MF: Muy frecuente A diario 75-100% F: Frecuente Una vez al mes 50% - 75% FN: Frecuencia normal Una vez al año 25% - 50% PF: Poco frecuente Cada varios años 0-25%

×