SlideShare una empresa de Scribd logo

PSI y PCN

Orestes Febles
Orestes Febles

El documento describe los planes de seguridad de la información (PSI) y de continuidad del negocio (PCN). El PSI incluye procesos para administrar la seguridad de la información mediante la evaluación de riesgos y selección de controles. El PCN busca reducir el riesgo de interrupciones a través del análisis de impacto, planes de contingencia y recuperación. Ambos planes son importantes para proteger los activos de la organización y garantizar la continuidad operativa.

Tecnología
1 de 35
Descargar para leer sin conexión
Planes de seguridad de la información. Planes de continuidad del negocio
Contenido • Introducción • PSI y PCN • Finalidad del PSI y PCN • Alcance del PSI y PCN • Importancia del PSI y PCN • Procedimientos utilizados
¿Qué es PSI? • Un Plan de Seguridad de la información incluye todos los procesos/servicios involucrados en la administración de la seguridad de la Información.
¿Qué es PSI? • Un PSI efectivo considera los impulsadores de seguridad de información de una organización para determinar el alcance y enfoque de los procesos involucrados en la administración de la seguridad.
Finalidad del PSI • La finalidad del PSI es proteger la información y los activos de la organización, tratando de conseguir confidencialidad, integridad y disponibilidad de los datos; y las responsabilidades que debe asumir cada uno de los empleados mientras permanezcan en la organización.
Alcance de PSI El alcance del desarrollo de un PSI es: • Evaluación de riesgos de seguridad a los que está expuesta la información. • Selección de controles y objetivos de control para reducir, eliminar o evitar los riesgos identificados, indicando las razones de su inclusión o exclusión. • Definición de políticas de seguridad.
Importancia del PSI • Permite desarrollar normas y procedimientos que pautan las actividades relacionadas con la seguridad informática y la tecnología de información. • Permite analizar la necesidad de cambios o adaptaciones para cubrir los riesgos existentes.
Importancia del PSI • Hace posible la concienciación de los miembros de la empresa acerca de la importancia y sensibilidad de la información y servicios críticos. • Permite conseguir el compromiso de la institución, agudeza técnica para establecer fallas, deficiencias, y constancia para renovar y actualizar las políticas en función de un ambiente dinámico
PCN • PCN significa “Plan de Continuidad del Negocio”, es un proceso diseñado para reducir el riesgo de la institución ante una interrupción inesperada de sus funciones / operaciones críticas, independiente de si estas son manuales o automatizadas, las cuales son necesarias para la supervivencia de la organización.
Finalidad del PCN • La finalidad del PCN es contar con una estrategia planificada, una serie de procedimientos que faciliten u orienten a tener una solución alternativa que permita restituir rápidamente los servicios de la organización ante la eventualidad de paralización, ya sea de forma parcial o total.
Alcance del PCN El alcance del desarrollo del PCN es: • Análisis de Impacto • Plan de Contingencia • Plan de Recuperación de desastres
• Es la identificación de los diversos eventos que podrían impactar la continuidad de las operaciones y la organización. • Previamente se determina la clasificación de seguridad de activos asociados a la tecnología mediante el análisis de riesgos. Análisis de impacto
• Del análisis de impacto y riesgos, como medida preventiva se genera el Plan de Contingencias, que es un instrumento sistematizado, que facilita y orienta la consecución de una solución alternativa que permita restituir rápidamente los servicios de la organización. Plan de contingencia
• Este plan tiene como objetivo la evaluación de la capacidad de la empresa para restaurar los servicios al nivel acordado de calidad, y de otra parte definir el proceso para desarrollar, comunicar y mantener planes documentados y probados para la continuidad del sistema de información y de las operaciones del negocio. Plan de recuperación de desastres
• Garantiza la continuidad del nivel mínimo de servicios necesarios para las operaciones críticas. • Permite que la institución se mantenga funcionando en caso de una interrupción y que sobreviva a una interrupción desastrosa de sus sistemas de información. Importancia del PCN
• Permite recuperar la normalidad de las actividades de la empresa rápidamente. • Identifica las funciones de negocio y los procesos esenciales para la continua y eficiente operación de la empresa. Importancia del PCN
Los datos deben protegerse aplicando: Seguridad Lógica • Uso de herramientas de protección de la información en el mismo medio en el que se genera o transmite. • Protocolos de autenticación entre cliente y servidor. • Aplicación de normativas. Seguridad Lógica
Los datos deben protegerse aplicando: Seguridad Física • Procedimientos de protección física del sistema: acceso personas, incendio, agua, terremotos, etc. • Medidas de prevención de riesgos tanto físicos como lógicos a través de una política de seguridad, planes de contingencia, aplicación de normativas, etc. Seguridad Física
• Anclajes a mesas de trabajo. • Cerraduras. • Tarjetas con alarma. • Etiquetas con adhesivos especiales. • Bloqueo de disquetera. • Protectores de teclado. • Tarjeta de control de acceso al hardware. • Suministro ininterrumpido de corriente. • Toma de tierra. Elementos a tener en cuenta. Entorno PC
Es el proceso de identificación y evaluación del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo que significaría la prevención de este suceso. Su análisis no sólo nos lleva a establecer un nivel adecuado de seguridad, sino que permite conocer mejor el sistema que vamos a proteger. Análisis de riesgo. Plan estratégico
• Determinación precisa de los recursos sensibles de la organización. • Identificación de las amenazas del sistema. • Identificación de las vulnerabilidades específicas del sistema. • Identificación de posibles pérdidas. • Identificación de la probabilidad de ocurrencia de una pérdida. • Derivación de contramedidas efectivas. • Identificación de herramientas de seguridad. • Implementación de un sistema de seguridad eficiente en costes y tiempo. Información del análisis de riesgo
¿ B  P  L ? • B: Carga o gasto que significa la prevención de una pérdida específica por vulnerabilidad. • P: Probabilidad de ocurrencia de esa pérdida específica. • L: Impacto total de dicha pérdida específica. Ecuación básica del análisis de riesgo
• No obstante, siempre puede ocurrir una desgracia que esté fuera de todo cálculo. Por ejemplo, el ataque a las torres gemelas y sus posteriores consecuencias informáticas no estaba contemplado en ningún plan contingencia.... Si B  P * L Hay que implementar una medida de prevención. Si B  P * L No es necesaria una medida de prevención. ¿Cuándo y cuánto invertir en SI?
Efectividad del coste de la medida  Las medidas y herramientas de control han de tener menos coste que el valor de las posibles pérdidas y el impacto de éstas si se produce el riesgo temido.  Ley básica: el costo del control ha de ser menor que el activo que protege. Algo totalmente lógico y que tanto los directivos como los responsables de seguridad de la empresa deberán estimar de forma adecuada a su realidad.
El factor L en la ecuación de riesgo Factor L (en B  P  L)  El factor de impacto total L es difícil de evaluar. Incluye daños a la información, a los equipos, pérdidas por reparación, por volver a levantar el sistema, pérdidas por horas de trabajo, etc.  Siempre habrá una parte subjetiva.  La pérdida de datos puede llevar a una pérdida de oportunidades por el llamado efecto cascada.  En la organización debe existir una comisión especializada interna o externa que sea capaz de evaluar todas las posibles pérdidas y cuantificarlas.
El factor P en la ecuación de riesgo Factor P (en B  P  L) El factor P está relacionado con la determinación del impacto total L y depende del entorno en el que esté la posible pérdida. Como este valor es difícil de cuantificar, dicha probabilidad puede asociarse a una tendencia o frecuencia conocida.
El factor B en la ecuación de riesgo Factor B (en B  P  L)  Indica qué se requiere para prevenir una pérdida. Es la cantidad de dinero que vamos a disponer para mitigar la posible pérdida. Ejemplo: la carga de prevención para que un sistema informático minimice el riesgo de que sus servidores sean atacados desde fuera incluye la instalación de software y hardware adecuado, un cortafuegos, un sistema de detección de intrusos, una configuración de red segura, una política de seguimiento de accesos y de passwords, personal técnico cualificado, etc. Todo ello importa una cantidad de dinero específica.
Cuantificación de la protección ¿ B  P  L ?  ¿Cuánta protección es necesaria? En nuestro ejemplo: qué configuración de red usar, en qué entorno trabajar, qué tipo de cortafuegos, etc. Eso dependerá del novel de seguridad que nuestra empresa desee o crea oportuno.  ¿De qué forma nos protegeremos? Una casa puede protegerse con puertas, cerraduras, barras en ventanas, sistemas de alarmas, etc. En un sistema informático podemos aplicar medidas físicas, políticas de seguridad de accesos, planes de contingencia y recuperación, cortafuegos, cifrado de la información, firmas, pasarelas seguras, etc.
Pasos en un análisis de riesgos 1. Identificación costo posibles pérdidas (L) Identificar amenazas 2. Determinar susceptibilidad. La probabilidad de pérdida (P) 3. Identificar posibles acciones (gasto) y sus implicaciones. (B) Seleccionar acciones a implementar. ¿ B  PL ? Se cierra el ciclo
• Políticas administrativas – Procedimientos administrativos. • Políticas de control de acceso – Privilegios de acceso del usuario o programa. • Políticas de flujo de información – Normas bajo la cuales se comunican los sujetos dentro del sistema. Algunas políticas de seguridad
• Políticas administrativas – Se establecen aquellos procedimientos de carácter administrativo en la organización como por ejemplo en el desarrollo de programas: modularidad en aplicaciones, revisión sistemática, etc. – Se establecen responsabilidades compartidas por todos los usuarios, cada uno en su nivel. Aspectos administrativos
• Políticas de control de acceso – Política de menor privilegio • Acceso estricto a objetos determinados, con mínimos privilegios para los usuarios. – Política de compartición • Acceso de máximo privilegio en el que cada usuario puede acceder a todos los objetos. – Granularidad • Número de objetos accesibles. Se habla entonces de granularidad gruesa y fina. Control de accesos
• Políticas de control de flujo – La información a la que se accede, se envía y recibe por: • ¿Canales claros o canales ocultos? ¿Seguros o no? – ¿Qué es lo que hay que potenciar? • ¿La confidencialidad o la integridad? • ¿La disponibilidad? ... ¿El no repudio? • Según cada organización y su entorno de trabajo y servicios ofrecidos, habrá diferencias. En algunos sistemas primarán unos más que otros, en función de cuán secreta es la información que procesan. Control de flujo
• Modelo de Bell LaPadula (BLP) – Rígido. Confidencialidad y con autoridad. • Modelo de Take-Grant (TG) – Derechos especiales: tomar y otorgar. • Modelo de Clark-Wilson (CW) – Orientación comercial: integridad. • Modelo de Goguen-Meseguer (GM) – No interferencia entre usuarios. • Modelo de Matriz de Accesos (MA) – Estados y transiciones entre estados • Tipo Graham-Dennig (GD) • Tipo Harrison-Ruzzo-Ullman (HRU) Modelos de seguridad
• La escritura hacia abajo está prohibida. • La lectura hacia arriba está prohibida. • Es el llamado principio de tranquilidad. No lectura hacia arriba Secreto máximo usuario dado de alta con un nivel secreto Secreto No escritura hacia abajo No clasificado Modelo de Bell LaPadula BLP

Recomendados

Estimación de Proyectos de Software
Estimación de Proyectos de SoftwareEstimación de Proyectos de Software
Estimación de Proyectos de SoftwareAndrés Felipe Montoya Ríos
 
3.5.1 Tipos-de-riesgos
3.5.1 Tipos-de-riesgos3.5.1 Tipos-de-riesgos
3.5.1 Tipos-de-riesgosKike Lopez
 
Aseguramiento de la calidad en software III
Aseguramiento de la calidad en software IIIAseguramiento de la calidad en software III
Aseguramiento de la calidad en software IIITensor
 
Tipos De Modulación
Tipos De ModulaciónTipos De Modulación
Tipos De ModulaciónJavier Albarracin
 
Interprete vs compilador
Interprete vs compiladorInterprete vs compilador
Interprete vs compiladorElba Sepúlveda
 
Analizador Sintáctico
Analizador SintácticoAnalizador Sintáctico
Analizador SintácticoPablo Guerra
 
Lenguaje Ensamblador
Lenguaje EnsambladorLenguaje Ensamblador
Lenguaje EnsambladorJesus Cuellar Sanchez
 
3.5.2 IDENTIFICACIÓN, IMPACTO Y PROYECCIÓN DEL RIEGOS
3.5.2 IDENTIFICACIÓN, IMPACTO Y PROYECCIÓN DEL RIEGOS3.5.2 IDENTIFICACIÓN, IMPACTO Y PROYECCIÓN DEL RIEGOS
3.5.2 IDENTIFICACIÓN, IMPACTO Y PROYECCIÓN DEL RIEGOSDaniela Barrientos
 

Recomendados

Estimación de Proyectos de Software
Estimación de Proyectos de SoftwareEstimación de Proyectos de Software
Estimación de Proyectos de SoftwareAndrés Felipe Montoya Ríos
 
3.5.1 Tipos-de-riesgos
3.5.1 Tipos-de-riesgos3.5.1 Tipos-de-riesgos
3.5.1 Tipos-de-riesgosKike Lopez
 
Aseguramiento de la calidad en software III
Aseguramiento de la calidad en software IIIAseguramiento de la calidad en software III
Aseguramiento de la calidad en software IIITensor
 
Tipos De Modulación
Tipos De ModulaciónTipos De Modulación
Tipos De ModulaciónJavier Albarracin
 
Interprete vs compilador
Interprete vs compiladorInterprete vs compilador
Interprete vs compiladorElba Sepúlveda
 
Analizador Sintáctico
Analizador SintácticoAnalizador Sintáctico
Analizador SintácticoPablo Guerra
 
Lenguaje Ensamblador
Lenguaje EnsambladorLenguaje Ensamblador
Lenguaje EnsambladorJesus Cuellar Sanchez
 
3.5.2 IDENTIFICACIÓN, IMPACTO Y PROYECCIÓN DEL RIEGOS
3.5.2 IDENTIFICACIÓN, IMPACTO Y PROYECCIÓN DEL RIEGOS3.5.2 IDENTIFICACIÓN, IMPACTO Y PROYECCIÓN DEL RIEGOS
3.5.2 IDENTIFICACIÓN, IMPACTO Y PROYECCIÓN DEL RIEGOSDaniela Barrientos
 
Planificacion De Proyectos De Software
Planificacion De Proyectos De SoftwarePlanificacion De Proyectos De Software
Planificacion De Proyectos De SoftwareIván Sanchez Vera
 
Actividad no.2 grupal
Actividad no.2 grupalActividad no.2 grupal
Actividad no.2 grupallisi2407
 
Comunicación y Sincronizacion de Procesos
Comunicación y Sincronizacion de ProcesosComunicación y Sincronizacion de Procesos
Comunicación y Sincronizacion de ProcesosLorena Ramos
 
Tecnicas de escaneo de puertos
Tecnicas de escaneo de puertosTecnicas de escaneo de puertos
Tecnicas de escaneo de puertosFrancisco Vergara
 
PERTURBACIONES DE LA TRANSMISIÓN
PERTURBACIONES DE LA TRANSMISIÓNPERTURBACIONES DE LA TRANSMISIÓN
PERTURBACIONES DE LA TRANSMISIÓNUNAED
 
Tecnicas de estimacion de software
Tecnicas de estimacion de softwareTecnicas de estimacion de software
Tecnicas de estimacion de softwareAdes27
 
GESTION DEL RIESGO
GESTION DEL RIESGOGESTION DEL RIESGO
GESTION DEL RIESGOLuis Enrique Castillo Leon
 
LOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDADLOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDADandreamo_21
 
Modulacion analogica
Modulacion analogicaModulacion analogica
Modulacion analogicapaolacalderoncandela123
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Presentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaPresentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaCSA Argentina
 
Cuadro comparativo estandares de calidad software
Cuadro comparativo estandares de calidad softwareCuadro comparativo estandares de calidad software
Cuadro comparativo estandares de calidad softwareHumano Terricola
 
Modulación por desplazamiento de frecuencia
Modulación por desplazamiento de frecuenciaModulación por desplazamiento de frecuencia
Modulación por desplazamiento de frecuenciaCarmen Ea
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Software y sus divisiones valeria e iliana
Software y sus divisiones valeria e ilianaSoftware y sus divisiones valeria e iliana
Software y sus divisiones valeria e ilianaHenry Valle
 
Líneas Troncales, RDSI y SIP Trunk
Líneas Troncales, RDSI y SIP TrunkLíneas Troncales, RDSI y SIP Trunk
Líneas Troncales, RDSI y SIP TrunkRicardo Canchis Caballero
 
Interrupciones de Hardware
Interrupciones de HardwareInterrupciones de Hardware
Interrupciones de HardwareJosueMacasCaraguay
 
Concurrencia bases datos 2
Concurrencia bases datos 2Concurrencia bases datos 2
Concurrencia bases datos 2Velmuz Buzz
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadessimondavila
 
Subneteo
SubneteoSubneteo
SubneteoCarloz Kaztro
 
Plan de cuidado nutricio y capacidades diferentes
Plan de cuidado nutricio y capacidades diferentesPlan de cuidado nutricio y capacidades diferentes
Plan de cuidado nutricio y capacidades diferentesEunice Liz Gonzalez
 
Tipos de clientes
Tipos de clientesTipos de clientes
Tipos de clientesLean Lab ITESM
 

Más contenido relacionado

La actualidad más candente

Planificacion De Proyectos De Software
Planificacion De Proyectos De SoftwarePlanificacion De Proyectos De Software
Planificacion De Proyectos De SoftwareIván Sanchez Vera
 
Actividad no.2 grupal
Actividad no.2 grupalActividad no.2 grupal
Actividad no.2 grupallisi2407
 
Comunicación y Sincronizacion de Procesos
Comunicación y Sincronizacion de ProcesosComunicación y Sincronizacion de Procesos
Comunicación y Sincronizacion de ProcesosLorena Ramos
 
Tecnicas de escaneo de puertos
Tecnicas de escaneo de puertosTecnicas de escaneo de puertos
Tecnicas de escaneo de puertosFrancisco Vergara
 
PERTURBACIONES DE LA TRANSMISIÓN
PERTURBACIONES DE LA TRANSMISIÓNPERTURBACIONES DE LA TRANSMISIÓN
PERTURBACIONES DE LA TRANSMISIÓNUNAED
 
Tecnicas de estimacion de software
Tecnicas de estimacion de softwareTecnicas de estimacion de software
Tecnicas de estimacion de softwareAdes27
 
LOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDADLOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDADandreamo_21
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002Miguel Cabrera
 
Presentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaPresentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaCSA Argentina
 
Cuadro comparativo estandares de calidad software
Cuadro comparativo estandares de calidad softwareCuadro comparativo estandares de calidad software
Cuadro comparativo estandares de calidad softwareHumano Terricola
 
Modulación por desplazamiento de frecuencia
Modulación por desplazamiento de frecuenciaModulación por desplazamiento de frecuencia
Modulación por desplazamiento de frecuenciaCarmen Ea
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Software y sus divisiones valeria e iliana
Software y sus divisiones valeria e ilianaSoftware y sus divisiones valeria e iliana
Software y sus divisiones valeria e ilianaHenry Valle
 
Concurrencia bases datos 2
Concurrencia bases datos 2Concurrencia bases datos 2
Concurrencia bases datos 2Velmuz Buzz
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadessimondavila
 

La actualidad más candente (20)

Planificacion De Proyectos De Software
Planificacion De Proyectos De SoftwarePlanificacion De Proyectos De Software
Planificacion De Proyectos De Software
 
Actividad no.2 grupal
Actividad no.2 grupalActividad no.2 grupal
Actividad no.2 grupal
 
Comunicación y Sincronizacion de Procesos
Comunicación y Sincronizacion de ProcesosComunicación y Sincronizacion de Procesos
Comunicación y Sincronizacion de Procesos
 
Tecnicas de escaneo de puertos
Tecnicas de escaneo de puertosTecnicas de escaneo de puertos
Tecnicas de escaneo de puertos
 
PERTURBACIONES DE LA TRANSMISIÓN
PERTURBACIONES DE LA TRANSMISIÓNPERTURBACIONES DE LA TRANSMISIÓN
PERTURBACIONES DE LA TRANSMISIÓN
 
Tecnicas de estimacion de software
Tecnicas de estimacion de softwareTecnicas de estimacion de software
Tecnicas de estimacion de software
 
GESTION DEL RIESGO
GESTION DEL RIESGOGESTION DEL RIESGO
GESTION DEL RIESGO
 
LOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDADLOS MECANISMOS DE SEGURIDAD
LOS MECANISMOS DE SEGURIDAD
 
Modulacion analogica
Modulacion analogicaModulacion analogica
Modulacion analogica
 
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
DIFERENCIAS Y SIMILITUDES ISO27001 Y ISO27002
 
Presentacion DevSecOps Argentina
Presentacion DevSecOps ArgentinaPresentacion DevSecOps Argentina
Presentacion DevSecOps Argentina
 
Cuadro comparativo estandares de calidad software
Cuadro comparativo estandares de calidad softwareCuadro comparativo estandares de calidad software
Cuadro comparativo estandares de calidad software
 
Modulación por desplazamiento de frecuencia
Modulación por desplazamiento de frecuenciaModulación por desplazamiento de frecuencia
Modulación por desplazamiento de frecuencia
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informática
 
Software y sus divisiones valeria e iliana
Software y sus divisiones valeria e ilianaSoftware y sus divisiones valeria e iliana
Software y sus divisiones valeria e iliana
 
Líneas Troncales, RDSI y SIP Trunk
Líneas Troncales, RDSI y SIP TrunkLíneas Troncales, RDSI y SIP Trunk
Líneas Troncales, RDSI y SIP Trunk
 
Interrupciones de Hardware
Interrupciones de HardwareInterrupciones de Hardware
Interrupciones de Hardware
 
Concurrencia bases datos 2
Concurrencia bases datos 2Concurrencia bases datos 2
Concurrencia bases datos 2
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
 
Subneteo
SubneteoSubneteo
Subneteo
 

Destacado

Plan de cuidado nutricio y capacidades diferentes
Plan de cuidado nutricio y capacidades diferentesPlan de cuidado nutricio y capacidades diferentes
Plan de cuidado nutricio y capacidades diferentesEunice Liz Gonzalez
 
Tema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaTema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaMariano Galvez
 
Amenazas a la Seguridad Informática
Amenazas a la Seguridad InformáticaAmenazas a la Seguridad Informática
Amenazas a la Seguridad Informáticapersonal
 
Diagnostico del estado nutricional
Diagnostico del estado nutricionalDiagnostico del estado nutricional
Diagnostico del estado nutricionalCinthia Del Fierro
 
Teorías del envejecimiento
Teorías del envejecimientoTeorías del envejecimiento
Teorías del envejecimientomiriampritchard
 
Seguimiento y control de un proyecto
Seguimiento y control de un proyectoSeguimiento y control de un proyecto
Seguimiento y control de un proyectoDiana De León
 

Destacado (9)

Plan de cuidado nutricio y capacidades diferentes
Plan de cuidado nutricio y capacidades diferentesPlan de cuidado nutricio y capacidades diferentes
Plan de cuidado nutricio y capacidades diferentes
 
Tipos de clientes
Tipos de clientesTipos de clientes
Tipos de clientes
 
Tema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaTema 6 planes de seguridad informatica
Tema 6 planes de seguridad informatica
 
12 amenazas a la seguridad de la información
12 amenazas a la seguridad de la información12 amenazas a la seguridad de la información
12 amenazas a la seguridad de la información
 
Amenazas a la Seguridad Informática
Amenazas a la Seguridad InformáticaAmenazas a la Seguridad Informática
Amenazas a la Seguridad Informática
 
Diagnostico del estado nutricional
Diagnostico del estado nutricionalDiagnostico del estado nutricional
Diagnostico del estado nutricional
 
Teorías del envejecimiento
Teorías del envejecimientoTeorías del envejecimiento
Teorías del envejecimiento
 
Seguimiento y control de un proyecto
Seguimiento y control de un proyectoSeguimiento y control de un proyecto
Seguimiento y control de un proyecto
 
Análisis Estadístico
Análisis EstadísticoAnálisis Estadístico
Análisis Estadístico
 

Similar a PSI y PCN

Plan De Contingencia
Plan De ContingenciaPlan De Contingencia
Plan De Contingenciasardellayulia
 
Plan de contingencia
Plan de contingenciaPlan de contingencia
Plan de contingenciaChenny3
 
Metodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMetodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMaria Martinez
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redesalexa1rodriguez
 
Presentacion2
Presentacion2Presentacion2
Presentacion2AGCR22
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionferd3116
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgocarma0101
 
Plan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de CómputoPlan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de Cómputossuserdd0f8d
 
Unidad 3 riesgos-contingencias
Unidad 3 riesgos-contingenciasUnidad 3 riesgos-contingencias
Unidad 3 riesgos-contingenciasgarivas2006
 
Seguridad de la Informática
Seguridad de la InformáticaSeguridad de la Informática
Seguridad de la InformáticaGuillermo Frs
 
Portafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIPortafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIOptimizaTI
 
Prdi francisco torres
Prdi francisco torresPrdi francisco torres
Prdi francisco torresfrankjtorres
 
Plandecontingencia
PlandecontingenciaPlandecontingencia
PlandecontingenciaMiguel Diaz
 

Similar a PSI y PCN (20)

05 gestionseg
05 gestionseg05 gestionseg
05 gestionseg
 
Plan De Contingencia
Plan De ContingenciaPlan De Contingencia
Plan De Contingencia
 
Plan de contingencia
Plan de contingenciaPlan de contingencia
Plan de contingencia
 
Ti035 caso practico
Ti035 caso practicoTi035 caso practico
Ti035 caso practico
 
Metodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastresMetodologia para el diseño de un plan de recuperacion ante desastres
Metodologia para el diseño de un plan de recuperacion ante desastres
 
Presentacion seguridad en redes
Presentacion seguridad en redesPresentacion seguridad en redes
Presentacion seguridad en redes
 
Presentacion2
Presentacion2Presentacion2
Presentacion2
 
Auditoria Fisica
Auditoria FisicaAuditoria Fisica
Auditoria Fisica
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgo
 
Plan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de CómputoPlan de Seguridad en un Centro de Cómputo
Plan de Seguridad en un Centro de Cómputo
 
Unidad 3 riesgos-contingencias
Unidad 3 riesgos-contingenciasUnidad 3 riesgos-contingencias
Unidad 3 riesgos-contingencias
 
Riesgosinformatica
RiesgosinformaticaRiesgosinformatica
Riesgosinformatica
 
01 riesgosinformatica
01 riesgosinformatica01 riesgosinformatica
01 riesgosinformatica
 
procesos de la auditoria
procesos de la auditoriaprocesos de la auditoria
procesos de la auditoria
 
Seguridad de la Informática
Seguridad de la InformáticaSeguridad de la Informática
Seguridad de la Informática
 
Portafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIPortafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TI
 
Prdi francisco torres
Prdi francisco torresPrdi francisco torres
Prdi francisco torres
 
Plandecontingencia
PlandecontingenciaPlandecontingencia
Plandecontingencia
 
Tratamiento de riesgo cf
Tratamiento de riesgo cfTratamiento de riesgo cf
Tratamiento de riesgo cf
 

Más de Orestes Febles

Seguridad en redes. Conf1
Seguridad en redes. Conf1Seguridad en redes. Conf1
Seguridad en redes. Conf1Orestes Febles
 

Más de Orestes Febles (7)

Seguridad en redes. Conf1
Seguridad en redes. Conf1Seguridad en redes. Conf1
Seguridad en redes. Conf1
 
Ia5 rbc
Ia5 rbcIa5 rbc
Ia5 rbc
 
Gc
GcGc
Gc
 
C1 introducciòn
C1 introducciònC1 introducciòn
C1 introducciòn
 
Criptografía
CriptografíaCriptografía
Criptografía
 
Arquitectura de redes
Arquitectura de redesArquitectura de redes
Arquitectura de redes
 
Introduccion
IntroduccionIntroduccion
Introduccion
 

Último

Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 

Último (20)

Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 

PSI y PCN

  • 1. Planes de seguridad de la información. Planes de continuidad del negocio
  • 2. Contenido • Introducción • PSI y PCN • Finalidad del PSI y PCN • Alcance del PSI y PCN • Importancia del PSI y PCN • Procedimientos utilizados
  • 3. ¿Qué es PSI? • Un Plan de Seguridad de la información incluye todos los procesos/servicios involucrados en la administración de la seguridad de la Información.
  • 4. ¿Qué es PSI? • Un PSI efectivo considera los impulsadores de seguridad de información de una organización para determinar el alcance y enfoque de los procesos involucrados en la administración de la seguridad.
  • 5. Finalidad del PSI • La finalidad del PSI es proteger la información y los activos de la organización, tratando de conseguir confidencialidad, integridad y disponibilidad de los datos; y las responsabilidades que debe asumir cada uno de los empleados mientras permanezcan en la organización.
  • 6. Alcance de PSI El alcance del desarrollo de un PSI es: • Evaluación de riesgos de seguridad a los que está expuesta la información. • Selección de controles y objetivos de control para reducir, eliminar o evitar los riesgos identificados, indicando las razones de su inclusión o exclusión. • Definición de políticas de seguridad.
  • 7. Importancia del PSI • Permite desarrollar normas y procedimientos que pautan las actividades relacionadas con la seguridad informática y la tecnología de información. • Permite analizar la necesidad de cambios o adaptaciones para cubrir los riesgos existentes.
  • 8. Importancia del PSI • Hace posible la concienciación de los miembros de la empresa acerca de la importancia y sensibilidad de la información y servicios críticos. • Permite conseguir el compromiso de la institución, agudeza técnica para establecer fallas, deficiencias, y constancia para renovar y actualizar las políticas en función de un ambiente dinámico
  • 9. PCN • PCN significa “Plan de Continuidad del Negocio”, es un proceso diseñado para reducir el riesgo de la institución ante una interrupción inesperada de sus funciones / operaciones críticas, independiente de si estas son manuales o automatizadas, las cuales son necesarias para la supervivencia de la organización.
  • 10. Finalidad del PCN • La finalidad del PCN es contar con una estrategia planificada, una serie de procedimientos que faciliten u orienten a tener una solución alternativa que permita restituir rápidamente los servicios de la organización ante la eventualidad de paralización, ya sea de forma parcial o total.
  • 11. Alcance del PCN El alcance del desarrollo del PCN es: • Análisis de Impacto • Plan de Contingencia • Plan de Recuperación de desastres
  • 12. • Es la identificación de los diversos eventos que podrían impactar la continuidad de las operaciones y la organización. • Previamente se determina la clasificación de seguridad de activos asociados a la tecnología mediante el análisis de riesgos. Análisis de impacto
  • 13. • Del análisis de impacto y riesgos, como medida preventiva se genera el Plan de Contingencias, que es un instrumento sistematizado, que facilita y orienta la consecución de una solución alternativa que permita restituir rápidamente los servicios de la organización. Plan de contingencia
  • 14. • Este plan tiene como objetivo la evaluación de la capacidad de la empresa para restaurar los servicios al nivel acordado de calidad, y de otra parte definir el proceso para desarrollar, comunicar y mantener planes documentados y probados para la continuidad del sistema de información y de las operaciones del negocio. Plan de recuperación de desastres
  • 15. • Garantiza la continuidad del nivel mínimo de servicios necesarios para las operaciones críticas. • Permite que la institución se mantenga funcionando en caso de una interrupción y que sobreviva a una interrupción desastrosa de sus sistemas de información. Importancia del PCN
  • 16. • Permite recuperar la normalidad de las actividades de la empresa rápidamente. • Identifica las funciones de negocio y los procesos esenciales para la continua y eficiente operación de la empresa. Importancia del PCN
  • 17. Los datos deben protegerse aplicando: Seguridad Lógica • Uso de herramientas de protección de la información en el mismo medio en el que se genera o transmite. • Protocolos de autenticación entre cliente y servidor. • Aplicación de normativas. Seguridad Lógica
  • 18. Los datos deben protegerse aplicando: Seguridad Física • Procedimientos de protección física del sistema: acceso personas, incendio, agua, terremotos, etc. • Medidas de prevención de riesgos tanto físicos como lógicos a través de una política de seguridad, planes de contingencia, aplicación de normativas, etc. Seguridad Física
  • 19. • Anclajes a mesas de trabajo. • Cerraduras. • Tarjetas con alarma. • Etiquetas con adhesivos especiales. • Bloqueo de disquetera. • Protectores de teclado. • Tarjeta de control de acceso al hardware. • Suministro ininterrumpido de corriente. • Toma de tierra. Elementos a tener en cuenta. Entorno PC
  • 20. Es el proceso de identificación y evaluación del riesgo a sufrir un ataque y perder datos, tiempo y horas de trabajo, comparándolo con el costo que significaría la prevención de este suceso. Su análisis no sólo nos lleva a establecer un nivel adecuado de seguridad, sino que permite conocer mejor el sistema que vamos a proteger. Análisis de riesgo. Plan estratégico
  • 21. • Determinación precisa de los recursos sensibles de la organización. • Identificación de las amenazas del sistema. • Identificación de las vulnerabilidades específicas del sistema. • Identificación de posibles pérdidas. • Identificación de la probabilidad de ocurrencia de una pérdida. • Derivación de contramedidas efectivas. • Identificación de herramientas de seguridad. • Implementación de un sistema de seguridad eficiente en costes y tiempo. Información del análisis de riesgo
  • 22. ¿ B  P  L ? • B: Carga o gasto que significa la prevención de una pérdida específica por vulnerabilidad. • P: Probabilidad de ocurrencia de esa pérdida específica. • L: Impacto total de dicha pérdida específica. Ecuación básica del análisis de riesgo
  • 23. • No obstante, siempre puede ocurrir una desgracia que esté fuera de todo cálculo. Por ejemplo, el ataque a las torres gemelas y sus posteriores consecuencias informáticas no estaba contemplado en ningún plan contingencia.... Si B  P * L Hay que implementar una medida de prevención. Si B  P * L No es necesaria una medida de prevención. ¿Cuándo y cuánto invertir en SI?
  • 24. Efectividad del coste de la medida  Las medidas y herramientas de control han de tener menos coste que el valor de las posibles pérdidas y el impacto de éstas si se produce el riesgo temido.  Ley básica: el costo del control ha de ser menor que el activo que protege. Algo totalmente lógico y que tanto los directivos como los responsables de seguridad de la empresa deberán estimar de forma adecuada a su realidad.
  • 25. El factor L en la ecuación de riesgo Factor L (en B  P  L)  El factor de impacto total L es difícil de evaluar. Incluye daños a la información, a los equipos, pérdidas por reparación, por volver a levantar el sistema, pérdidas por horas de trabajo, etc.  Siempre habrá una parte subjetiva.  La pérdida de datos puede llevar a una pérdida de oportunidades por el llamado efecto cascada.  En la organización debe existir una comisión especializada interna o externa que sea capaz de evaluar todas las posibles pérdidas y cuantificarlas.
  • 26. El factor P en la ecuación de riesgo Factor P (en B  P  L) El factor P está relacionado con la determinación del impacto total L y depende del entorno en el que esté la posible pérdida. Como este valor es difícil de cuantificar, dicha probabilidad puede asociarse a una tendencia o frecuencia conocida.
  • 27. El factor B en la ecuación de riesgo Factor B (en B  P  L)  Indica qué se requiere para prevenir una pérdida. Es la cantidad de dinero que vamos a disponer para mitigar la posible pérdida. Ejemplo: la carga de prevención para que un sistema informático minimice el riesgo de que sus servidores sean atacados desde fuera incluye la instalación de software y hardware adecuado, un cortafuegos, un sistema de detección de intrusos, una configuración de red segura, una política de seguimiento de accesos y de passwords, personal técnico cualificado, etc. Todo ello importa una cantidad de dinero específica.
  • 28. Cuantificación de la protección ¿ B  P  L ?  ¿Cuánta protección es necesaria? En nuestro ejemplo: qué configuración de red usar, en qué entorno trabajar, qué tipo de cortafuegos, etc. Eso dependerá del novel de seguridad que nuestra empresa desee o crea oportuno.  ¿De qué forma nos protegeremos? Una casa puede protegerse con puertas, cerraduras, barras en ventanas, sistemas de alarmas, etc. En un sistema informático podemos aplicar medidas físicas, políticas de seguridad de accesos, planes de contingencia y recuperación, cortafuegos, cifrado de la información, firmas, pasarelas seguras, etc.
  • 29. Pasos en un análisis de riesgos 1. Identificación costo posibles pérdidas (L) Identificar amenazas 2. Determinar susceptibilidad. La probabilidad de pérdida (P) 3. Identificar posibles acciones (gasto) y sus implicaciones. (B) Seleccionar acciones a implementar. ¿ B  PL ? Se cierra el ciclo
  • 30. • Políticas administrativas – Procedimientos administrativos. • Políticas de control de acceso – Privilegios de acceso del usuario o programa. • Políticas de flujo de información – Normas bajo la cuales se comunican los sujetos dentro del sistema. Algunas políticas de seguridad
  • 31. • Políticas administrativas – Se establecen aquellos procedimientos de carácter administrativo en la organización como por ejemplo en el desarrollo de programas: modularidad en aplicaciones, revisión sistemática, etc. – Se establecen responsabilidades compartidas por todos los usuarios, cada uno en su nivel. Aspectos administrativos
  • 32. • Políticas de control de acceso – Política de menor privilegio • Acceso estricto a objetos determinados, con mínimos privilegios para los usuarios. – Política de compartición • Acceso de máximo privilegio en el que cada usuario puede acceder a todos los objetos. – Granularidad • Número de objetos accesibles. Se habla entonces de granularidad gruesa y fina. Control de accesos
  • 33. • Políticas de control de flujo – La información a la que se accede, se envía y recibe por: • ¿Canales claros o canales ocultos? ¿Seguros o no? – ¿Qué es lo que hay que potenciar? • ¿La confidencialidad o la integridad? • ¿La disponibilidad? ... ¿El no repudio? • Según cada organización y su entorno de trabajo y servicios ofrecidos, habrá diferencias. En algunos sistemas primarán unos más que otros, en función de cuán secreta es la información que procesan. Control de flujo
  • 34. • Modelo de Bell LaPadula (BLP) – Rígido. Confidencialidad y con autoridad. • Modelo de Take-Grant (TG) – Derechos especiales: tomar y otorgar. • Modelo de Clark-Wilson (CW) – Orientación comercial: integridad. • Modelo de Goguen-Meseguer (GM) – No interferencia entre usuarios. • Modelo de Matriz de Accesos (MA) – Estados y transiciones entre estados • Tipo Graham-Dennig (GD) • Tipo Harrison-Ruzzo-Ullman (HRU) Modelos de seguridad
  • 35. • La escritura hacia abajo está prohibida. • La lectura hacia arriba está prohibida. • Es el llamado principio de tranquilidad. No lectura hacia arriba Secreto máximo usuario dado de alta con un nivel secreto Secreto No escritura hacia abajo No clasificado Modelo de Bell LaPadula BLP