SlideShare una empresa de Scribd logo

Análisis de riesgos basados en magerit

Descargar como PPTX, PDF
Luis Felipe Suarez
Luis Felipe Suarez

Luis Felipe Borrero Suarez. MODELOS Y ESTÁNDARES DE SEGURIDAD INFORMÁTICA (Posgrado) 233002A_471

Internet
1 de 13
Análisis de Riesgos Basados en MAGERIT Modelos y Estándares de Seguridad Informática. Luis Felipe Borrero Suarez
Planificación • Estudio de Oportunidad: Realiza diagnostico del estado de seguridad en que están los activos de información y tecnológicos. • Definición del Alcance y Objetivos del Proyecto: Limites, Dominio y Objetivos. • Planificación del Proyecto: Cronograma de actividades. • Lanzamiento del Proyecto: Posterior a un proceso de análisis, Observación, Etc.
Análisis de Riesgo. • Caracterización y Valoración de los activos. 1. Identificación de los activos. Aplicaciones informáticas: Sistemas de información manejados, sistemas Operativos, Herramientas software, Antivirus. Servicios: Servidor Proxy, DNS, DHCP, Telefonía, IP, Servidor de base de datos, Cámaras IP. Redes de Comunicaciones: Proveedor de servicios de internet. Equipamiento Informático: Firewall, PC, Switch, Router.
Análisis de Riesgo. • Caracterización y Valoración de los activos. 1. Identificación de los activos. Equipamiento Auxiliar: Cableado de red y alimentación eléctrica. Instalaciones: Gabinetes donde están los dispositivos. Personal: Auxiliares, Administrativos.
Valoración de Activos. • Valoración de activos de acuerdo a la metodología MARGERIT Para valorar las consecuencias en casos de materialización de las amenazas. Dimensiones: 1. Disponibilidad. 2. Integridad de los datos. 3. Confidencialidad de la información. 4. Autenticidad. 5. Trazabilidad.
Caracterización y Valoración de las Amenazas. • Evaluar la devaluación de los activos en caso de materialización de amenazas. Se analizan en tablas con criterios como: 1. Frecuencia de amenaza. 2. Degradación de la amenaza. 3. Identificación y valoración de amenazas tipo: Aplicaciones Informáticas. 4. Justificación de Amenaza: Errores de los usuarios, mala Administración, errores de configuración, vulnerabilidades.
Caracterización y Valoración de las Amenazas. • Evaluar la devaluación de los activos en caso de materialización de amenazas. Se analizan en tablas con criterios como: 6. Alteración intencional o accidental de información. 7. Ingeniería Social. 8. No establecer métodos de aseguramiento de la información: Backups. 9. Implementación de Perfiles. 10. Instalaciones Físicas adecuadas.
Estimación del Impacto Estimación del Impacto del daño en caso de materialización de amenaza en activos de la información. 1. Impacto Acumulado: Impacto Potencial al que esta expuesto el sistema. 2. Impacto Residual: Es el resultado de combinar el valor de los activos, la valoración de las amenazas y la efectividad de los preventivos aplicados. 3. Se determina tomando valores del impacto acumulado y la frecuencia de las amenazas, determinando que activos están potencialmente amenazados.
Interpretación de los resultados. • Hardware: Mantenimiento preventivo y correctivo, normalizar procedimientos técnicos, personal especializado, Restricción de dispositivos externos, Planes de Contingencia. • Software: Licencias, Prevención de software ilegal, Copias de Seguridad y Actualización de Seguridad. • Redes: Segmentar red Física y Lógicamente, Sistemas de protección perimetral. • Establecer la necesidad de mejora de instalación física y de seguridad. • Entablar controles de acuerdo a los resultados.
Mecanismos de control de activos • Seguridad física y ambiental. • Controles de acceso físico. • Protección de oficinas, recintos e instalaciones. • Desarrollo de tareas en áreas protegidas. • Seguridad del cableado. • Mantenimiento de equipos. • Controles contra software malicioso.
Mecanismos de control de activos • Controles de redes. • Administración de métodos informáticos Removibles. • Seguridad del Correo Electrónico. • Control de acceso al sistema operativo. • Procedimientos de conexión de terminales. • Identificación y autenticación de los usuarios. • Sistema de administración de contraseñas.
Mecanismos de control de activos • Control de acceso a las aplicaciones. • Controles criptográficos. • Seguridad de los procesos de desarrollo y Soporte
Bibliografía • Perafan. J-J, Caicedo. M, Analisis de riesgos de la información para la institución universitaria colegio mayor del Cauca. Recuperado de: http://stadium.unad.edu.co/preview/UNAD.php?url=/bitstre am/10596/2655/3/76327474.pdf

Recomendados

Análisis de riesgos basado en magerit
Análisis de riesgos basado en mageritAnálisis de riesgos basado en magerit
Análisis de riesgos basado en mageritMaidy Rojas
 
Pre Shenlong
Pre ShenlongPre Shenlong
Pre ShenlongHacking Bolivia
 
Tema 4. Detección de Intrusos
Tema 4. Detección de IntrusosTema 4. Detección de Intrusos
Tema 4. Detección de IntrusosFrancisco Medina
 
Seguridad inf
Seguridad infSeguridad inf
Seguridad infAlcedo Molina
 
2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad2017-2 Tema 2. Identidad
2017-2 Tema 2. IdentidadFrancisco Medina
 
¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security
¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security ¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security
¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security Panda Security
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
Seguridad de la Información - UTS
Seguridad de la Información - UTSSeguridad de la Información - UTS
Seguridad de la Información - UTSJose Manuel Acosta
 

Recomendados

Análisis de riesgos basado en magerit
Análisis de riesgos basado en mageritAnálisis de riesgos basado en magerit
Análisis de riesgos basado en mageritMaidy Rojas
 
Pre Shenlong
Pre ShenlongPre Shenlong
Pre ShenlongHacking Bolivia
 
Tema 4. Detección de Intrusos
Tema 4. Detección de IntrusosTema 4. Detección de Intrusos
Tema 4. Detección de IntrusosFrancisco Medina
 
Seguridad inf
Seguridad infSeguridad inf
Seguridad infAlcedo Molina
 
2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad2017-2 Tema 2. Identidad
2017-2 Tema 2. IdentidadFrancisco Medina
 
¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security
¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security ¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security
¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security Panda Security
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
Seguridad de la Información - UTS
Seguridad de la Información - UTSSeguridad de la Información - UTS
Seguridad de la Información - UTSJose Manuel Acosta
 
Módulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosMódulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosFrancisco Medina
 
Interesante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testInteresante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testxavazquez
 
Creando un programa de seguridad informatica
Creando un programa de seguridad informaticaCreando un programa de seguridad informatica
Creando un programa de seguridad informaticaPedro Colmenares
 
Riesgos y glosario
Riesgos y glosarioRiesgos y glosario
Riesgos y glosariocromerovarg
 
14 espinel yulieth estructura curricular 04 02 19
14 espinel yulieth estructura curricular 04 02 1914 espinel yulieth estructura curricular 04 02 19
14 espinel yulieth estructura curricular 04 02 19YuliethGeraldin
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informáticaPedro Cobarrubias
 
Sistemas de Archivos - Sistemas Operativos
Sistemas de Archivos - Sistemas OperativosSistemas de Archivos - Sistemas Operativos
Sistemas de Archivos - Sistemas OperativosEDSA TI
 
Tema 2. Evidencia digital
Tema 2. Evidencia digitalTema 2. Evidencia digital
Tema 2. Evidencia digitalFrancisco Medina
 
PSI y PCN
PSI y PCNPSI y PCN
PSI y PCNOrestes Febles
 
Hacking etico
Hacking eticoHacking etico
Hacking eticoHacking etico
 
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Internet Security Auditors
 
Kick off
Kick offKick off
Kick offerck sanchez
 
Curso de Hacking Ético 2013
Curso de Hacking Ético 2013Curso de Hacking Ético 2013
Curso de Hacking Ético 2013NPROS Perú
 
Curso Especializado Hacking Ético Digital
Curso Especializado Hacking Ético DigitalCurso Especializado Hacking Ético Digital
Curso Especializado Hacking Ético DigitalICEMD
 
Technical Approach to Red Team Operations
Technical Approach to Red Team OperationsTechnical Approach to Red Team Operations
Technical Approach to Red Team OperationsEduardo Arriols Nuñez
 
Prevencion y Recuperacion de Incidentes
Prevencion y Recuperacion de IncidentesPrevencion y Recuperacion de Incidentes
Prevencion y Recuperacion de IncidentesJose Manuel Acosta
 
Hacking ético
Hacking éticoHacking ético
Hacking éticoBase10media
 
S2 cdsi1-1
S2 cdsi1-1S2 cdsi1-1
S2 cdsi1-1Luis Fernando Aguas Bucheli
 
Capitulo1 conceptosbasicos
Capitulo1 conceptosbasicosCapitulo1 conceptosbasicos
Capitulo1 conceptosbasicosrocapio1987
 
2016-1 Presentación materia Seguridad Informática
2016-1 Presentación materia Seguridad Informática2016-1 Presentación materia Seguridad Informática
2016-1 Presentación materia Seguridad InformáticaFrancisco Medina
 
Administracic3b3n y-auditoria-de-centros-de-computo
Administracic3b3n y-auditoria-de-centros-de-computoAdministracic3b3n y-auditoria-de-centros-de-computo
Administracic3b3n y-auditoria-de-centros-de-computoJorge Djproducto R
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos IITensor
 

Más contenido relacionado

La actualidad más candente

Módulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosMódulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosFrancisco Medina
 
Interesante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testInteresante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testxavazquez
 
Creando un programa de seguridad informatica
Creando un programa de seguridad informaticaCreando un programa de seguridad informatica
Creando un programa de seguridad informaticaPedro Colmenares
 
Riesgos y glosario
Riesgos y glosarioRiesgos y glosario
Riesgos y glosariocromerovarg
 
14 espinel yulieth estructura curricular 04 02 19
14 espinel yulieth estructura curricular 04 02 1914 espinel yulieth estructura curricular 04 02 19
14 espinel yulieth estructura curricular 04 02 19YuliethGeraldin
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informáticaPedro Cobarrubias
 
Sistemas de Archivos - Sistemas Operativos
Sistemas de Archivos - Sistemas OperativosSistemas de Archivos - Sistemas Operativos
Sistemas de Archivos - Sistemas OperativosEDSA TI
 
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Internet Security Auditors
 
Curso de Hacking Ético 2013
Curso de Hacking Ético 2013Curso de Hacking Ético 2013
Curso de Hacking Ético 2013NPROS Perú
 
Curso Especializado Hacking Ético Digital
Curso Especializado Hacking Ético DigitalCurso Especializado Hacking Ético Digital
Curso Especializado Hacking Ético DigitalICEMD
 
Technical Approach to Red Team Operations
Technical Approach to Red Team OperationsTechnical Approach to Red Team Operations
Technical Approach to Red Team OperationsEduardo Arriols Nuñez
 
Prevencion y Recuperacion de Incidentes
Prevencion y Recuperacion de IncidentesPrevencion y Recuperacion de Incidentes
Prevencion y Recuperacion de IncidentesJose Manuel Acosta
 
Capitulo1 conceptosbasicos
Capitulo1 conceptosbasicosCapitulo1 conceptosbasicos
Capitulo1 conceptosbasicosrocapio1987
 
2016-1 Presentación materia Seguridad Informática
2016-1 Presentación materia Seguridad Informática2016-1 Presentación materia Seguridad Informática
2016-1 Presentación materia Seguridad InformáticaFrancisco Medina
 

La actualidad más candente (20)

Módulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de DatosMódulo 6. Seguridad de Base de Datos
Módulo 6. Seguridad de Base de Datos
 
Interesante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testInteresante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-test
 
Creando un programa de seguridad informatica
Creando un programa de seguridad informaticaCreando un programa de seguridad informatica
Creando un programa de seguridad informatica
 
Riesgos y glosario
Riesgos y glosarioRiesgos y glosario
Riesgos y glosario
 
14 espinel yulieth estructura curricular 04 02 19
14 espinel yulieth estructura curricular 04 02 1914 espinel yulieth estructura curricular 04 02 19
14 espinel yulieth estructura curricular 04 02 19
 
Programa de seguridad informática
Programa de seguridad informáticaPrograma de seguridad informática
Programa de seguridad informática
 
Sistemas de Archivos - Sistemas Operativos
Sistemas de Archivos - Sistemas OperativosSistemas de Archivos - Sistemas Operativos
Sistemas de Archivos - Sistemas Operativos
 
Tema 2. Evidencia digital
Tema 2. Evidencia digitalTema 2. Evidencia digital
Tema 2. Evidencia digital
 
PSI y PCN
PSI y PCNPSI y PCN
PSI y PCN
 
Hacking etico
Hacking eticoHacking etico
Hacking etico
 
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
Curso de práctica operativa en investigación. Módulo 5. Internet, Documentaci...
 
Kick off
Kick offKick off
Kick off
 
Curso de Hacking Ético 2013
Curso de Hacking Ético 2013Curso de Hacking Ético 2013
Curso de Hacking Ético 2013
 
Curso Especializado Hacking Ético Digital
Curso Especializado Hacking Ético DigitalCurso Especializado Hacking Ético Digital
Curso Especializado Hacking Ético Digital
 
Technical Approach to Red Team Operations
Technical Approach to Red Team OperationsTechnical Approach to Red Team Operations
Technical Approach to Red Team Operations
 
Prevencion y Recuperacion de Incidentes
Prevencion y Recuperacion de IncidentesPrevencion y Recuperacion de Incidentes
Prevencion y Recuperacion de Incidentes
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
 
S2 cdsi1-1
S2 cdsi1-1S2 cdsi1-1
S2 cdsi1-1
 
Capitulo1 conceptosbasicos
Capitulo1 conceptosbasicosCapitulo1 conceptosbasicos
Capitulo1 conceptosbasicos
 
2016-1 Presentación materia Seguridad Informática
2016-1 Presentación materia Seguridad Informática2016-1 Presentación materia Seguridad Informática
2016-1 Presentación materia Seguridad Informática
 

Similar a Análisis de riesgos basados en magerit

Administracic3b3n y-auditoria-de-centros-de-computo
Administracic3b3n y-auditoria-de-centros-de-computoAdministracic3b3n y-auditoria-de-centros-de-computo
Administracic3b3n y-auditoria-de-centros-de-computoJorge Djproducto R
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos IITensor
 
AUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsxAUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsxMarko Zapata
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASJuan407916
 
Seguridad informatica(1).docx
Seguridad informatica(1).docxSeguridad informatica(1).docx
Seguridad informatica(1).docxLizy Pineda
 
Seguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaSeguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaWilliam Matamoros
 
Seguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaSeguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaWilliam Matamoros
 
procedimiento de seguridad y proteccion
procedimiento de seguridad y proteccion procedimiento de seguridad y proteccion
procedimiento de seguridad y proteccion deivymoreno2
 
Asignación a cargo del docente
Asignación a cargo del docenteAsignación a cargo del docente
Asignación a cargo del docenteYanin Valencia
 
2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdfCloeCornejo
 
Montaxe e reparacions de sistemas microinformaticos2
Montaxe e reparacions de sistemas microinformaticos2Montaxe e reparacions de sistemas microinformaticos2
Montaxe e reparacions de sistemas microinformaticos2josepepepepepepe422
 
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...Jack Daniel Cáceres Meza
 

Similar a Análisis de riesgos basados en magerit (20)

Administracic3b3n y-auditoria-de-centros-de-computo
Administracic3b3n y-auditoria-de-centros-de-computoAdministracic3b3n y-auditoria-de-centros-de-computo
Administracic3b3n y-auditoria-de-centros-de-computo
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos II
 
AUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsxAUDITORIA DE SEGURIDAD.ppsx
AUDITORIA DE SEGURIDAD.ppsx
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakan
 
Auditoria De Redes
Auditoria De RedesAuditoria De Redes
Auditoria De Redes
 
Informe de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITASInforme de Seguridad Informática EPS SANITAS
Informe de Seguridad Informática EPS SANITAS
 
Presetacion redes ip
Presetacion redes ipPresetacion redes ip
Presetacion redes ip
 
Computacion forense
Computacion forenseComputacion forense
Computacion forense
 
Computacion forense
Computacion forenseComputacion forense
Computacion forense
 
Seguridad informatica(1).docx
Seguridad informatica(1).docxSeguridad informatica(1).docx
Seguridad informatica(1).docx
 
Seguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaSeguridad informática y plan de contigencia
Seguridad informática y plan de contigencia
 
Seguridad informática y plan de contigencia
Seguridad informática y plan de contigenciaSeguridad informática y plan de contigencia
Seguridad informática y plan de contigencia
 
AUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTOAUDITORIA INFORMÁTICA: MANTENIMIENTO
AUDITORIA INFORMÁTICA: MANTENIMIENTO
 
procedimiento de seguridad y proteccion
procedimiento de seguridad y proteccion procedimiento de seguridad y proteccion
procedimiento de seguridad y proteccion
 
Asignación a cargo del docente
Asignación a cargo del docenteAsignación a cargo del docente
Asignación a cargo del docente
 
2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf2SCSFP-SIEM-HE.pdf
2SCSFP-SIEM-HE.pdf
 
Montaxe e reparacions de sistemas microinformaticos2
Montaxe e reparacions de sistemas microinformaticos2Montaxe e reparacions de sistemas microinformaticos2
Montaxe e reparacions de sistemas microinformaticos2
 
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
 
AUDITORÍA DE REDES
AUDITORÍA DE REDESAUDITORÍA DE REDES
AUDITORÍA DE REDES
 
Dti auditoria de sistemas
Dti auditoria de sistemasDti auditoria de sistemas
Dti auditoria de sistemas
 

Último

PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjPPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjNachisRamos
 
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdfTIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdfLUZMARIAAYALALOPEZ
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señorkkte210207
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucioneschorantina325
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digitalNayaniJulietaRamosRa
 

Último (7)

PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjjPPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
PPT-HISTORIA-6°-ABC.pptxjjjjjjjjjjjjjjjjjjjjjj
 
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdfTIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
TIPOS DE LA PSICOPATOLOGÍA DE LA PERCEPCIÓN.pdf
 
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
02. Mr. Spencer (T.L. Sawn).pdf.libro de un señor
 
Unidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disolucionesUnidad V. Disoluciones quimica de las disoluciones
Unidad V. Disoluciones quimica de las disoluciones
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
Las redes sociales en el mercado digital
Las redes sociales en el mercado digitalLas redes sociales en el mercado digital
Las redes sociales en el mercado digital
 

Análisis de riesgos basados en magerit

  • 1. Análisis de Riesgos Basados en MAGERIT Modelos y Estándares de Seguridad Informática. Luis Felipe Borrero Suarez
  • 2. Planificación • Estudio de Oportunidad: Realiza diagnostico del estado de seguridad en que están los activos de información y tecnológicos. • Definición del Alcance y Objetivos del Proyecto: Limites, Dominio y Objetivos. • Planificación del Proyecto: Cronograma de actividades. • Lanzamiento del Proyecto: Posterior a un proceso de análisis, Observación, Etc.
  • 3. Análisis de Riesgo. • Caracterización y Valoración de los activos. 1. Identificación de los activos. Aplicaciones informáticas: Sistemas de información manejados, sistemas Operativos, Herramientas software, Antivirus. Servicios: Servidor Proxy, DNS, DHCP, Telefonía, IP, Servidor de base de datos, Cámaras IP. Redes de Comunicaciones: Proveedor de servicios de internet. Equipamiento Informático: Firewall, PC, Switch, Router.
  • 4. Análisis de Riesgo. • Caracterización y Valoración de los activos. 1. Identificación de los activos. Equipamiento Auxiliar: Cableado de red y alimentación eléctrica. Instalaciones: Gabinetes donde están los dispositivos. Personal: Auxiliares, Administrativos.
  • 5. Valoración de Activos. • Valoración de activos de acuerdo a la metodología MARGERIT Para valorar las consecuencias en casos de materialización de las amenazas. Dimensiones: 1. Disponibilidad. 2. Integridad de los datos. 3. Confidencialidad de la información. 4. Autenticidad. 5. Trazabilidad.
  • 6. Caracterización y Valoración de las Amenazas. • Evaluar la devaluación de los activos en caso de materialización de amenazas. Se analizan en tablas con criterios como: 1. Frecuencia de amenaza. 2. Degradación de la amenaza. 3. Identificación y valoración de amenazas tipo: Aplicaciones Informáticas. 4. Justificación de Amenaza: Errores de los usuarios, mala Administración, errores de configuración, vulnerabilidades.
  • 7. Caracterización y Valoración de las Amenazas. • Evaluar la devaluación de los activos en caso de materialización de amenazas. Se analizan en tablas con criterios como: 6. Alteración intencional o accidental de información. 7. Ingeniería Social. 8. No establecer métodos de aseguramiento de la información: Backups. 9. Implementación de Perfiles. 10. Instalaciones Físicas adecuadas.
  • 8. Estimación del Impacto Estimación del Impacto del daño en caso de materialización de amenaza en activos de la información. 1. Impacto Acumulado: Impacto Potencial al que esta expuesto el sistema. 2. Impacto Residual: Es el resultado de combinar el valor de los activos, la valoración de las amenazas y la efectividad de los preventivos aplicados. 3. Se determina tomando valores del impacto acumulado y la frecuencia de las amenazas, determinando que activos están potencialmente amenazados.
  • 9. Interpretación de los resultados. • Hardware: Mantenimiento preventivo y correctivo, normalizar procedimientos técnicos, personal especializado, Restricción de dispositivos externos, Planes de Contingencia. • Software: Licencias, Prevención de software ilegal, Copias de Seguridad y Actualización de Seguridad. • Redes: Segmentar red Física y Lógicamente, Sistemas de protección perimetral. • Establecer la necesidad de mejora de instalación física y de seguridad. • Entablar controles de acuerdo a los resultados.
  • 10. Mecanismos de control de activos • Seguridad física y ambiental. • Controles de acceso físico. • Protección de oficinas, recintos e instalaciones. • Desarrollo de tareas en áreas protegidas. • Seguridad del cableado. • Mantenimiento de equipos. • Controles contra software malicioso.
  • 11. Mecanismos de control de activos • Controles de redes. • Administración de métodos informáticos Removibles. • Seguridad del Correo Electrónico. • Control de acceso al sistema operativo. • Procedimientos de conexión de terminales. • Identificación y autenticación de los usuarios. • Sistema de administración de contraseñas.
  • 12. Mecanismos de control de activos • Control de acceso a las aplicaciones. • Controles criptográficos. • Seguridad de los procesos de desarrollo y Soporte
  • 13. Bibliografía • Perafan. J-J, Caicedo. M, Analisis de riesgos de la información para la institución universitaria colegio mayor del Cauca. Recuperado de: http://stadium.unad.edu.co/preview/UNAD.php?url=/bitstre am/10596/2655/3/76327474.pdf