SlideShare una empresa de Scribd logo

Tema 2: Análisis de Riesgos

Francisco Medina
Francisco Medina

Tema 2: Análisis de Riesgos

Educación
1 de 67
Descargar para leer sin conexión
Seguridad Inform´atica Tema 2. An´alisis de Riesgos Francisco Medina L´opez – paco.medina@comunidad.unam.mx Facultad de Contadur´ıa y Administraci´on Universidad Nacional Aut´onoma de M´exico 2021-1
Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
Importancia de la Administraci´on del Riesgo INFOSEC ROCK STAR. How to accelerate your carrer because geek will only get you so far,Ted Demopoulous
Fuentes de requisitos de seguridad de la informaci´on 1 Evaluaci´on de los riegos para la organizaci´on, teniendo en cuenta las estrat´egias y objetivos del negocio. 2 Requisitos legales y contractuales que una organiaci´on , sus socios comerciales y proveedores de servicios tienen que satisfacer, y su entorno sociocultural. 3 Conjunto de principios, objetivos y requerimientos del negocio para el manejo, procesamiento, almacenamiento, comunicaci´on y archivo de informaci´on que una organizaci´on desarrolla para dar soporte a sus operaciones.
Riesgo Definici´on Posibilidad de que un agente de amenaza se aproveche de una vulnerabildad y de su correspondiente impacto en el negocio. Ejemplos: • Sin un firewall tiene varios puertos abiertos, hay mayor probabilidad de que un instruso utilice uno de los puertos para acceder a la red de una manera no autorizada. • Si lo usuarios no est´an educados en los procesos y procedimientos, hay una mayor probabilidad de que un empleado pueda cometer una falta mal intencionada o no y destruir datos.
Elementos del riesgo Impacto P´erdida ocasionada por la materializaci´on del riesgo. Si no hay efectos negativos no hay riesgo. Grado de materializaci´on Certeza sobre la ocurrencia del riesgo.
Diferencia entre preocupaci´on, riesgo y problema
¿Qu´e es la Administraci´on de Riesgo? Definici´on Proceso de planificar, organizar, dirigir, y controlar las actividades de una organizaci´on con el fin de minimizar los efectos negativos del riesgo sobre el capital y los ingresos de una organziaci´on. • La administraci´on de riesgos es un proceso continuo que se aplica a todos los aspectos de los procesos operativos de una organizaci´on. • La tarea de supervisar este proceso la lleva a cabo un especialista en seguridad de la informaci´on, que puede ser el Oficial de Seguridad de la Informaci´on (CISO, Chief Information Security Officer).
Est´andares relativos a la administraci´on del riesgo • ISO / IEC 31000:2018 Gesti´on del Riesgo – Directrices. • ISACA’s Risk IT Framework. • The open Group’s Factor Analysis for Information Risk (FAIR) model. • Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE). • MAGERIT metodolog´ıa de car´acter p´ublico perteneciente al Ministerio de Administraciones P´ublicas de Espa˜na. • NIST Publicaci´on Especial 800-30. • Facilitated Risk Analysis and Assesment Process (FRAAP).
ISO/IEC 31000:2018
Establecer alcance, contexto y criterios Prop´osito Definir el alcance del proceso, y comprender los contextos externo e interno.
Evaluaci´on del riesgo Definici´on Proceso global de identificaci´on, an´alisis y valoraci´on del riesgo. Objetivos: 1 Encontrar, reconocer y describir los riesgos que impiden a una organizaci´on lograr sus objetivos (Identifcar riesgos), 2 Comprender la naturaleza del riesgo y sus caracter´ısticas incluyendo el nivel de riesgo (Analizar riesgos) y 3 Comparar los resultados del an´alisis de riesgos con los criterios del riesgo establecido para determinar cuando se requiere una acci´on adicional (Valorar riesgos).
Tratamiento del riesgo Definici´on Implementar opciones para abordar el riesgo. Es un proceso iterativo que implica: • Formular y seleccionar opciones para el tratamiento del riego; • Planificar e implementar el tratamiento del riesgo; • Evaluar la eficacia del tratamiento; • Decidir si el riesgo residual es aceptable.
Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
Amenazas Definici´on Posible causa de un incidente no deseado que puede resultar en da˜nos a un sistema u organizaci´on. • La entidad que se aprovecha de una vulnerabildad se denomina agente de amenaza. • Un intruso que accede a la red a trav´es de un puerto en el firewall. • Un proceso de acceso a los datos de manera que viola la pol´ıtica de seguridad. • Un tornado acabando con una instalaci´on. • Un empleado haciendo un error involuntario que podr´ıa exponer informaci´on confidencia.
Tipos de amanezas
Clasificaci´on de las amenazas
Ejemplos de amenazas
Vulnerabilidad Definici´on Debilidad de un activo o grupo de activos que puede ser explotado por una o m´as amenazas. • Se caracteriza por la ausencia o debilidad de un control que podr´ıa ser explotada. • Un servicio que se ejecuta en un servidor. • Aplicaciones sin parches o sistemas operativos sin actualizaciones. • Un puerto abierto en un firewall. • M´odem inal´ambrico sin restricciones. • Falta de seguridad f´ısica que permite que cualquiera pueda entrar en cuarto de servidores. • D´ebil administraci´on de contrase˜nas de servidores y estaciones de trabajo.
Fuentes de divulgaci´on de vulnerabilidades • The NVD: https://nvd.nist.gov/vuln/search • CVE Details: https://www.cvedetails.com/
Vulnerabilidades reportadas por a˜no Enlace
Vulnerabilidades por fabricante Enlace
Vulnerabilidades por tipo de software
Top 10 Vulnerabilidades por producto
Tipos de vulnerabilidades m´as frecuentes • Vulnerabilidades de configuraci´on; • Validaci´on de entrada; • Salto de directorio; • Inyecci´on de comandos en el sistema operativo; • Inyecci´on SQL; • Error de b´ufer; • Fallo de autenticaci´on; • Error en la gesti´on de recursos; • Error de dise˜no;
Malware Definici´on Programas dise˜nados para acceder a un sistema inform´atico de forma no autorizada y provocar da˜nos a este. Objetivos: • Destrucci´on o modificaci´on de informaci´on. • Robo de informaci´on y claves de acceso. • Propagaci´on a otros equipos de una misma red o a trav´es de internet. • Introducir publicidad de forma masiva. • Comprometer la integridad de las aplicaciones y sistemas operativos.
Tipos de malware 1 Virus. 2 Cookies. 3 Troyanos. 4 Keylooger. 5 Spyware. 6 Gusanos (worms). 7 Ransoware.
Herramientas en l´ınea para an´alisis de malware https://www.virustotal.com/gui/ https://id-ransomware.malwarehunterteam.com/
Relaci´on amenazas y vulnerabilidades
Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
Probabilidad Definici´on Estimaci´on de posibilidades de que se materialce el riesgo o, lo que es lo mismo, que se produzca una amenaza real. • La probabilidad de ocurrencia de una amenaza est´a determinada por un an´alisis de vulnerabilidades.
Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
Clasificaci´on de Activos Definici´on Cualqueir cosa que tenga valor para la organizaci´on. 1 Tangibles • Datos • Software • Computadoras, equipos de comunicaciones, cableado. 2 Intangibles • Privacidad • Seguridad y salud de los empleados • Imagen y reputaci´on • Continuidad de las actividades • Moral del empleado
Valor de los activos • La importance de los activos de un sistema de informaci´on depender´a de su valoraci´on. Si un activo no tiene valor, es completamnte prescindible. • Por otra parte, si un activo es necesario para el correcto funcionamiento del sistema, es que tiene cierto valor. • La valoraci´on del activo viene definida como el costo que implicar´a recuperarse de un fallo del activo provocado por alguna incidencia.
Factores para valorar un activo 1 Costo del personal espacializado necesario para recuperar el activo (Costo de mano de obra). 2 Los ingresos perdidos por el fallo del activo. 3 Costo de adquisici´on e instalaci´on de un activo nuevo en caso de que el anterior haya resultado inservible (Costo de recuperaci´on). 4 P´erdida de percepci´on de confianza y calidad de los clientes y proveedores provocados por una interrupci´on del servicio provocada por el fallo del activo. 5 Infracciones cometidas y sanciones correspondientes al incumplimiento de requierimientos legales o de obligaciones contractuales debidas al fallo del activo. 6 Da˜nos y efectos perjudiciales provocados por el activo a otros activos, tanto propios como ajenos a la organizaci´on. 7 Da˜nos medioambientales causados por el activo. 8 Da˜nos a otras personas causadas por el activo.
Ejemplo: P´erdida de percepci´on de confianza Fuente: Grupo de Facebook ”Facultad de Contadur´ıa y Administraci´on (FCA-UNAM)”.
Tipos de valoraci´on de activos Auditoria de seguridad inform´atica
Dimensiones de valoraci´on de los activos 1 Disponibilidad • ¿Cu´al ser´ıa la importancia del activo si no estuviera disponible? 2 Integridad • ¿Qu´e importancia tendr´ıa que el activo sufriera modificaciones? 3 Confidencialidad • ¿Cu´al ser´ıa la importancia del conocimiento del activo por usuarios no autorizados? 4 Autenticidad • ¿Cu´al ser´ıa la importancia del acceso al activo por parte de personas no autorizadas? 5 Trazabilidad • ¿Cu´al ser´ıa la importancia de la falta de constancia de la utilizaci´on del activo?
Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
Introducci´on 1 An´alisis Cualitativo de Riesgos • Utiliza elementos de la organizaci´on como opini´on, mejores pr´acticas, intuici´on, experiencia, etc. para ponderar el riesgo y sus componentes. • Aplicable a todas las situaciones 2 An´alisis Cuantitativo de Riesgos • Asigna valores monetarios (objetivos) a cada componente de la evaluaci´on de riesgos y a cada potencial p´erdida.
An´alisis Cualitativo de Riesgos Definici´on Modelo basado en escenarios mas que en c´alculos. • En lugar de asignar el costo exacto respecto de las posibles p´erdidas, en este escenario se ponderan en escala, los riesgos, costos y efectos de una amenaza en relaci´on del activo. • Este tipo de procesos, conjuga: juicio, experiencia e intuici´on. • T´ecnicas y M´etodos utilizados: • Lluvia de ideas (Brainstorming), T´enicas Delphi, Cuestionarios, Listas (Checklist), Entrevistas, . . .
Pasos del An´alisis Cualitativo de Riesgos 1 Definici´on de: • Niveles de probabilidad de ocurrencia de las amenazas • Niveles de impacto de las amenazas • Niveles de riesgo (en funci´on a las anteriores) 2 Clasificaci´on de las amenazas en cuanto a su probabilidad de ocurrencia e impacto. 3 Estimaci´on del riesgo
Probabilidad de ocurrencia
Impacto
An´alisis Cuantitativo de Riesgos Definici´on Asigna valores monetarios a cada componente de la evaluaci´on de riesgos y a cada potencial p´erdida. Pasos: 1 Asignar valores a los activos. 2 Estimar la p´erdida potencial por cada amenaza. 3 Analizar las amenazas. 4 Estimar la p´erdida anual.
Matriz de evaluaci´on de riesgo
Resultado An´alisis de Riesgos
Ejemplo: Matriz an´alisis de riesgo Fuente: http://protejete.wordpress.com/gdr_principal/matriz_riesgo/
Resultados del An´alisis Cuantitativo de Riesgos? • Valor de los activos (en dinero). • Posibles amenazas a los activos. • Probabilidad de ocurrencia de cada amenaza. • Posible p´erdida anual por cada amenaza.
Cuantitativo vs Cualitativo (2)
Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
Estimar la p´erdida potencial por cada amenaza • Factor de Exposici´on (EF): Porcentaje de p´erdida que una amenaza podr´ıa tener sobre un determinado activo. • Expectativa de P´erdida Individual (SLE): Valor monetario asociado a un evento determinado. Representa la p´erdida producida por una amenaza determinada en forma individual.
Tasa de Ocurrencia Anual (ARO) • Tasa de Ocurrencia Anual (ARO): Representa la frecuencia estimada de ocurrencia de un evento (amenaza), dentro del periodo de un a˜no.
Estimar la p´erdida anual • Expectativa de P´erdida Anualizada (ALE): Representa la p´erdida anual producida por una amenaza determinada individual..
C´alculo de expectativa de p´erdida anual (ALE)
Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
Estrategias para tratar los Riesgos 1 Mitigar: Implementar controles para reducir el nivel de riesgo. 2 Aceptar: Se acepta el riesgo en su nivel actual. 3 Transferir: Compartir el riesgo con partes externas. 4 Evitar: Cancelar la actividad que genera el riesgo.
Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
Control o contramedida Definici´on Cualquier tipo de mecanismo que permita identificar, proteger, detectar, responder o minimizar el riesgo asociado con la ocurrencia de una amenaza espec´ıfica. Objetivo: • Reducir los efectos producidos por las amenazas de seguridad (threats) y vulnerabilidades (vulnerabilities) a un nivel tolerable para una organizaci´on. Los controles o contramedidas pueden ser: • Preventivos / De detecci´on / Correctivos / De respuesta / De recuperaci´on. • F´ısicos / T´ecnicos (L´ogicos) / Administrativos
Tratamiento de los Riesgos Cada organizaci´on debe definir y efectuar un proceso de tratamiento de los riesgos de seguridad para: • Seleccionar las opciones adecuadas de tratamiento de riesgos de seguridad de la informaci´on teniendo en cuenta los resultados de la apreciaci´on de riesgos. • Determinar todos los controles que sean necesarios para implementar la(s) opci´on(es) elegida(s) de tratamiento de riesgos de seguridad de la informaci´on.
Familia de controles de acuerdo al NIST NIST Security and Privacy Controls forInformation Systems and Organizations Enlace .
Familia de controles de acuerdo al ISO 27001 ISO/IEC 27001:2013 Enlace .
Controles T´ecnicos de Seguridad
Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
Plan de Tratamiento de Riesgos
Referencias bibliogr´aficas Comptia Security+ All-In-One Exam Guide, Fifth Edition (Exam Sy0-501) CHICANO Tejada, Ester., Auditor´ıa de seguridad inform´atica., 2014.

Recomendados

Taller de Gestión de Riesgos
Taller de Gestión de RiesgosTaller de Gestión de Riesgos
Taller de Gestión de RiesgosSandraDuranG
 
Iso 31000 2018 v 2020
Iso 31000 2018 v 2020Iso 31000 2018 v 2020
Iso 31000 2018 v 2020Primala Sistema de Gestion
 
Plan de gestión de calidad 1
Plan de gestión de calidad 1Plan de gestión de calidad 1
Plan de gestión de calidad 1DIXMAPRIN
 
Seguridad linux 2011
Seguridad linux 2011Seguridad linux 2011
Seguridad linux 2011cristina0leandro
 
Plan de Continuidad de Negocio (BCP)
Plan de Continuidad de Negocio (BCP)Plan de Continuidad de Negocio (BCP)
Plan de Continuidad de Negocio (BCP)Gustavo Specht
 
Administración del riesgo
Administración del riesgoAdministración del riesgo
Administración del riesgoSebastian García Mejía
 
Ejemplo de arrendadora financiera
Ejemplo de arrendadora financieraEjemplo de arrendadora financiera
Ejemplo de arrendadora financieraacesora
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 

Recomendados

Taller de Gestión de Riesgos
Taller de Gestión de RiesgosTaller de Gestión de Riesgos
Taller de Gestión de RiesgosSandraDuranG
 
Iso 31000 2018 v 2020
Iso 31000 2018 v 2020Iso 31000 2018 v 2020
Iso 31000 2018 v 2020Primala Sistema de Gestion
 
Plan de gestión de calidad 1
Plan de gestión de calidad 1Plan de gestión de calidad 1
Plan de gestión de calidad 1DIXMAPRIN
 
Seguridad linux 2011
Seguridad linux 2011Seguridad linux 2011
Seguridad linux 2011cristina0leandro
 
Plan de Continuidad de Negocio (BCP)
Plan de Continuidad de Negocio (BCP)Plan de Continuidad de Negocio (BCP)
Plan de Continuidad de Negocio (BCP)Gustavo Specht
 
Administración del riesgo
Administración del riesgoAdministración del riesgo
Administración del riesgoSebastian García Mejía
 
Ejemplo de arrendadora financiera
Ejemplo de arrendadora financieraEjemplo de arrendadora financiera
Ejemplo de arrendadora financieraacesora
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Open Source & Cybersecurity
Open Source & CybersecurityOpen Source & Cybersecurity
Open Source & CybersecurityFathi Kamil Mohad Zainuddin
 
Cyber kill chain
Cyber kill chainCyber kill chain
Cyber kill chainAnkita Ganguly
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioMelvin Jáquez
 
Cybercrime
CybercrimeCybercrime
CybercrimeVansh Verma
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubecesar lara
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo oceanicacumplimiento
 
Modelado de amenazas
Modelado de amenazasModelado de amenazas
Modelado de amenazasBoris Murillo
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Avianca desarrollo de pensamiento estratégico-ean
Avianca desarrollo de pensamiento estratégico-eanAvianca desarrollo de pensamiento estratégico-ean
Avianca desarrollo de pensamiento estratégico-eanMarley Serrano Estupiñán
 
Marco de referencia para la gestión del riesgo
Marco de referencia para la gestión del riesgoMarco de referencia para la gestión del riesgo
Marco de referencia para la gestión del riesgoMaría D Pérez H
 
Iso 31000
Iso 31000Iso 31000
Iso 31000Uro Cacho
 
Ciberseguridad en empresas
Ciberseguridad en empresasCiberseguridad en empresas
Ciberseguridad en empresasPedro De La Torre Rodríguez
 
Mapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la InformaciónMapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la Informaciónjmarquez23
 
Iso 14001
Iso 14001Iso 14001
Iso 14001Rosaluz Aguilar Contreras
 
Sistema de-gestion-anticorrupcion-iso-37001
Sistema de-gestion-anticorrupcion-iso-37001Sistema de-gestion-anticorrupcion-iso-37001
Sistema de-gestion-anticorrupcion-iso-37001pinkelephantlatam
 
“Modelos para la Gestión Estrátegica del Riesgo.”
“Modelos para la Gestión Estrátegica del Riesgo.”“Modelos para la Gestión Estrátegica del Riesgo.”
“Modelos para la Gestión Estrátegica del Riesgo.”Red de organizaciones en Centroamérica
 
Técnicas y Prácticas de Seguro
Técnicas y Prácticas de SeguroTécnicas y Prácticas de Seguro
Técnicas y Prácticas de SeguroAngi Suarez
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 

Más contenido relacionado

La actualidad más candente

Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITJaime Barrios Cantillo
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioMelvin Jáquez
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubecesar lara
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo oceanicacumplimiento
 
Modelado de amenazas
Modelado de amenazasModelado de amenazas
Modelado de amenazasBoris Murillo
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Avianca desarrollo de pensamiento estratégico-ean
Avianca desarrollo de pensamiento estratégico-eanAvianca desarrollo de pensamiento estratégico-ean
Avianca desarrollo de pensamiento estratégico-eanMarley Serrano Estupiñán
 
Marco de referencia para la gestión del riesgo
Marco de referencia para la gestión del riesgoMarco de referencia para la gestión del riesgo
Marco de referencia para la gestión del riesgoMaría D Pérez H
 
Mapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la InformaciónMapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la Informaciónjmarquez23
 
Sistema de-gestion-anticorrupcion-iso-37001
Sistema de-gestion-anticorrupcion-iso-37001Sistema de-gestion-anticorrupcion-iso-37001
Sistema de-gestion-anticorrupcion-iso-37001pinkelephantlatam
 
Técnicas y Prácticas de Seguro
Técnicas y Prácticas de SeguroTécnicas y Prácticas de Seguro
Técnicas y Prácticas de SeguroAngi Suarez
 

La actualidad más candente (20)

Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERIT
 
Open Source & Cybersecurity
Open Source & CybersecurityOpen Source & Cybersecurity
Open Source & Cybersecurity
 
Cyber kill chain
Cyber kill chainCyber kill chain
Cyber kill chain
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la información
 
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
 
Cybercrime
CybercrimeCybercrime
Cybercrime
 
Ensayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nubeEnsayo capitulo 8 seguridad de la nube
Ensayo capitulo 8 seguridad de la nube
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo
 
Modelado de amenazas
Modelado de amenazasModelado de amenazas
Modelado de amenazas
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Avianca desarrollo de pensamiento estratégico-ean
Avianca desarrollo de pensamiento estratégico-eanAvianca desarrollo de pensamiento estratégico-ean
Avianca desarrollo de pensamiento estratégico-ean
 
Marco de referencia para la gestión del riesgo
Marco de referencia para la gestión del riesgoMarco de referencia para la gestión del riesgo
Marco de referencia para la gestión del riesgo
 
Iso 31000
Iso 31000Iso 31000
Iso 31000
 
Ciberseguridad en empresas
Ciberseguridad en empresasCiberseguridad en empresas
Ciberseguridad en empresas
 
Mapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la InformaciónMapa conceptual sobre Seguridad de la Información
Mapa conceptual sobre Seguridad de la Información
 
Iso 14001
Iso 14001Iso 14001
Iso 14001
 
Sistema de-gestion-anticorrupcion-iso-37001
Sistema de-gestion-anticorrupcion-iso-37001Sistema de-gestion-anticorrupcion-iso-37001
Sistema de-gestion-anticorrupcion-iso-37001
 
“Modelos para la Gestión Estrátegica del Riesgo.”
“Modelos para la Gestión Estrátegica del Riesgo.”“Modelos para la Gestión Estrátegica del Riesgo.”
“Modelos para la Gestión Estrátegica del Riesgo.”
 
Técnicas y Prácticas de Seguro
Técnicas y Prácticas de SeguroTécnicas y Prácticas de Seguro
Técnicas y Prácticas de Seguro
 

Similar a Tema 2: Análisis de Riesgos

Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Saeta de Dios
 
Analisis gestion de riesgos
Analisis gestion de riesgosAnalisis gestion de riesgos
Analisis gestion de riesgosmendozanet
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMICHELCARLOSCUEVASSA
 
Importancia de medir el riesgo operativo SEGUROS.pdf
Importancia de medir el riesgo operativo SEGUROS.pdfImportancia de medir el riesgo operativo SEGUROS.pdf
Importancia de medir el riesgo operativo SEGUROS.pdfmsotelo2
 
Evaluación del riesgo tecnologías informáticas.pdf
Evaluación del riesgo tecnologías informáticas.pdfEvaluación del riesgo tecnologías informáticas.pdf
Evaluación del riesgo tecnologías informáticas.pdfGuillermoBarquero7
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos InformaticosByron Zurita
 
Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790albertodiego26
 
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...Luis Fernando Aguas Bucheli
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
Presentación análisis y administración de riesgo
Presentación análisis y administración de riesgoPresentación análisis y administración de riesgo
Presentación análisis y administración de riesgoAnel García Pumarino
 

Similar a Tema 2: Análisis de Riesgos (20)

Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de Riesgos
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]
 
Tratamiento de riesgo
Tratamiento de riesgoTratamiento de riesgo
Tratamiento de riesgo
 
Analisis gestion de riesgos
Analisis gestion de riesgosAnalisis gestion de riesgos
Analisis gestion de riesgos
 
4743467 (4).ppt
4743467 (4).ppt4743467 (4).ppt
4743467 (4).ppt
 
Taller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_RiesgosTaller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_Riesgos
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgos
 
Gestión Riesgos
Gestión RiesgosGestión Riesgos
Gestión Riesgos
 
Importancia de medir el riesgo operativo SEGUROS.pdf
Importancia de medir el riesgo operativo SEGUROS.pdfImportancia de medir el riesgo operativo SEGUROS.pdf
Importancia de medir el riesgo operativo SEGUROS.pdf
 
Evaluación del riesgo tecnologías informáticas.pdf
Evaluación del riesgo tecnologías informáticas.pdfEvaluación del riesgo tecnologías informáticas.pdf
Evaluación del riesgo tecnologías informáticas.pdf
 
Taller EFC-Auditoría
Taller EFC-AuditoríaTaller EFC-Auditoría
Taller EFC-Auditoría
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos Informaticos
 
Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
 
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
 
Presentación análisis y administración de riesgo
Presentación análisis y administración de riesgoPresentación análisis y administración de riesgo
Presentación análisis y administración de riesgo
 

Más de Francisco Medina

Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaFrancisco Medina
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadFrancisco Medina
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadFrancisco Medina
 
Por qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetPor qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetFrancisco Medina
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaFrancisco Medina
 
2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad InformáticaFrancisco Medina
 
Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1Francisco Medina
 
Caso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y ShellshockCaso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y ShellshockFrancisco Medina
 
Tema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las ComunicacionesTema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las ComunicacionesFrancisco Medina
 
Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2Francisco Medina
 
Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2Francisco Medina
 
Presentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosPresentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosFrancisco Medina
 
Módulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado EstructuradoMódulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado EstructuradoFrancisco Medina
 
Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.Francisco Medina
 
Tema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática ForenseTema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática ForenseFrancisco Medina
 

Más de Francisco Medina (20)

Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 
2021 1 T4-Criptografía
2021 1 T4-Criptografía2021 1 T4-Criptografía
2021 1 T4-Criptografía
 
Tema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridadTema 3. Arquitectura y diseño de seguridad
Tema 3. Arquitectura y diseño de seguridad
 
Por qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en InternetPor qué es importante cuidar mi privacidad en Internet
Por qué es importante cuidar mi privacidad en Internet
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
Conociendo la Dark Web
Conociendo la Dark WebConociendo la Dark Web
Conociendo la Dark Web
 
2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática2021-1 Presentación de la materia Seguridad Informática
2021-1 Presentación de la materia Seguridad Informática
 
Tema 1. Active Directory
Tema 1. Active DirectoryTema 1. Active Directory
Tema 1. Active Directory
 
Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1Administración de Servidores WINDOWS T1
Administración de Servidores WINDOWS T1
 
Caso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y ShellshockCaso de estudio No.1: Heartbleed y Shellshock
Caso de estudio No.1: Heartbleed y Shellshock
 
Tema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las ComunicacionesTema 3. Seguridad en las Comunicaciones
Tema 3. Seguridad en las Comunicaciones
 
2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad2017-2 Tema 2. Identidad
2017-2 Tema 2. Identidad
 
Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2Presentación de la materia Seguridad Informática 2017-2
Presentación de la materia Seguridad Informática 2017-2
 
Tema 1. Seguridad Física
Tema 1. Seguridad FísicaTema 1. Seguridad Física
Tema 1. Seguridad Física
 
Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2Presentación de la materia Seguridad en redes 2017-2
Presentación de la materia Seguridad en redes 2017-2
 
Presentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de DatosPresentación del Módulo 6. Seguridad en Base de Datos
Presentación del Módulo 6. Seguridad en Base de Datos
 
Módulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado EstructuradoMódulo 3. Tema 1. Cableado Estructurado
Módulo 3. Tema 1. Cableado Estructurado
 
Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.Presentación Módulo 3. Tecnología de conectividad en redes.
Presentación Módulo 3. Tecnología de conectividad en redes.
 
Tema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática ForenseTema 1, Introducción a la Informática Forense
Tema 1, Introducción a la Informática Forense
 

Último

Desarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por ValoresDesarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por ValoresJonathanCovena1
 
Los avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtualesLos avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtualesMarisolMartinez707897
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAJAVIER SOLIS NOYOLA
 
UNIDAD DIDACTICA nivel inicial EL SUPERMERCADO.docx
UNIDAD DIDACTICA nivel inicial EL SUPERMERCADO.docxUNIDAD DIDACTICA nivel inicial EL SUPERMERCADO.docx
UNIDAD DIDACTICA nivel inicial EL SUPERMERCADO.docxMaria Jimena Leon Malharro
 
La Evaluacion Formativa SM6 Ccesa007.pdf
La Evaluacion Formativa SM6 Ccesa007.pdfLa Evaluacion Formativa SM6 Ccesa007.pdf
La Evaluacion Formativa SM6 Ccesa007.pdfDemetrio Ccesa Rayme
 
LA JUNGLA DE COLORES.pptx Cuento de animales
LA JUNGLA DE COLORES.pptx Cuento de animalesLA JUNGLA DE COLORES.pptx Cuento de animales
LA JUNGLA DE COLORES.pptx Cuento de animalesanllamas
 
Ensayo Paes competencia matematicas 2 Preuniversitario
Ensayo Paes competencia matematicas 2 PreuniversitarioEnsayo Paes competencia matematicas 2 Preuniversitario
Ensayo Paes competencia matematicas 2 Preuniversitariolucianosaldivia3
 
La Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración AmbientalLa Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración AmbientalJonathanCovena1
 
prostitución en España: una mirada integral!
prostitución en España: una mirada integral!prostitución en España: una mirada integral!
prostitución en España: una mirada integral!CatalinaAlfaroChryso
 
Factores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdfFactores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdfJonathanCovena1
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Katherine Concepcion Gonzalez
 
Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...
Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...
Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...Ars Erótica
 
animalesdelaproincia de beunos aires.pdf
animalesdelaproincia de beunos aires.pdfanimalesdelaproincia de beunos aires.pdf
animalesdelaproincia de beunos aires.pdfSofiaArias58
 
Revista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdfRevista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdfapunteshistoriamarmo
 
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdfFeliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdfMercedes Gonzalez
 
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptx
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptxPLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptx
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptxCamuchaCrdovaAlonso
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxiemerc2024
 

Último (20)

Desarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por ValoresDesarrollo y Aplicación de la Administración por Valores
Desarrollo y Aplicación de la Administración por Valores
 
Los avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtualesLos avatares para el juego dramático en entornos virtuales
Los avatares para el juego dramático en entornos virtuales
 
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLAACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
ACRÓNIMO DE PARÍS PARA SU OLIMPIADA 2024. Por JAVIER SOLIS NOYOLA
 
UNIDAD DIDACTICA nivel inicial EL SUPERMERCADO.docx
UNIDAD DIDACTICA nivel inicial EL SUPERMERCADO.docxUNIDAD DIDACTICA nivel inicial EL SUPERMERCADO.docx
UNIDAD DIDACTICA nivel inicial EL SUPERMERCADO.docx
 
Power Point E. S.: Los dos testigos.pptx
Power Point E. S.: Los dos testigos.pptxPower Point E. S.: Los dos testigos.pptx
Power Point E. S.: Los dos testigos.pptx
 
La Evaluacion Formativa SM6 Ccesa007.pdf
La Evaluacion Formativa SM6 Ccesa007.pdfLa Evaluacion Formativa SM6 Ccesa007.pdf
La Evaluacion Formativa SM6 Ccesa007.pdf
 
LA JUNGLA DE COLORES.pptx Cuento de animales
LA JUNGLA DE COLORES.pptx Cuento de animalesLA JUNGLA DE COLORES.pptx Cuento de animales
LA JUNGLA DE COLORES.pptx Cuento de animales
 
Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024
 
Ensayo Paes competencia matematicas 2 Preuniversitario
Ensayo Paes competencia matematicas 2 PreuniversitarioEnsayo Paes competencia matematicas 2 Preuniversitario
Ensayo Paes competencia matematicas 2 Preuniversitario
 
La Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración AmbientalLa Sostenibilidad Corporativa. Administración Ambiental
La Sostenibilidad Corporativa. Administración Ambiental
 
prostitución en España: una mirada integral!
prostitución en España: una mirada integral!prostitución en España: una mirada integral!
prostitución en España: una mirada integral!
 
Factores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdfFactores que intervienen en la Administración por Valores.pdf
Factores que intervienen en la Administración por Valores.pdf
 
Supuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docxSupuestos_prácticos_funciones.docx
Supuestos_prácticos_funciones.docx
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
 
Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...
Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...
Louis Jean François Lagrenée. Erotismo y sensualidad. El erotismo en la Hist...
 
animalesdelaproincia de beunos aires.pdf
animalesdelaproincia de beunos aires.pdfanimalesdelaproincia de beunos aires.pdf
animalesdelaproincia de beunos aires.pdf
 
Revista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdfRevista Apuntes de Historia. Mayo 2024.pdf
Revista Apuntes de Historia. Mayo 2024.pdf
 
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdfFeliz Día de la Madre - 5 de Mayo, 2024.pdf
Feliz Día de la Madre - 5 de Mayo, 2024.pdf
 
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptx
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptxPLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptx
PLAN LECTOR 2024 integrado nivel inicial-miercoles 10.pptx
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
 

Tema 2: Análisis de Riesgos

  • 1. Seguridad Inform´atica Tema 2. An´alisis de Riesgos Francisco Medina L´opez – paco.medina@comunidad.unam.mx Facultad de Contadur´ıa y Administraci´on Universidad Nacional Aut´onoma de M´exico 2021-1
  • 2. Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
  • 3. Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
  • 4. Importancia de la Administraci´on del Riesgo INFOSEC ROCK STAR. How to accelerate your carrer because geek will only get you so far,Ted Demopoulous
  • 5. Fuentes de requisitos de seguridad de la informaci´on 1 Evaluaci´on de los riegos para la organizaci´on, teniendo en cuenta las estrat´egias y objetivos del negocio. 2 Requisitos legales y contractuales que una organiaci´on , sus socios comerciales y proveedores de servicios tienen que satisfacer, y su entorno sociocultural. 3 Conjunto de principios, objetivos y requerimientos del negocio para el manejo, procesamiento, almacenamiento, comunicaci´on y archivo de informaci´on que una organizaci´on desarrolla para dar soporte a sus operaciones.
  • 6. Riesgo Definici´on Posibilidad de que un agente de amenaza se aproveche de una vulnerabildad y de su correspondiente impacto en el negocio. Ejemplos: • Sin un firewall tiene varios puertos abiertos, hay mayor probabilidad de que un instruso utilice uno de los puertos para acceder a la red de una manera no autorizada. • Si lo usuarios no est´an educados en los procesos y procedimientos, hay una mayor probabilidad de que un empleado pueda cometer una falta mal intencionada o no y destruir datos.
  • 7. Elementos del riesgo Impacto P´erdida ocasionada por la materializaci´on del riesgo. Si no hay efectos negativos no hay riesgo. Grado de materializaci´on Certeza sobre la ocurrencia del riesgo.
  • 9. ¿Qu´e es la Administraci´on de Riesgo? Definici´on Proceso de planificar, organizar, dirigir, y controlar las actividades de una organizaci´on con el fin de minimizar los efectos negativos del riesgo sobre el capital y los ingresos de una organziaci´on. • La administraci´on de riesgos es un proceso continuo que se aplica a todos los aspectos de los procesos operativos de una organizaci´on. • La tarea de supervisar este proceso la lleva a cabo un especialista en seguridad de la informaci´on, que puede ser el Oficial de Seguridad de la Informaci´on (CISO, Chief Information Security Officer).
  • 10. Est´andares relativos a la administraci´on del riesgo • ISO / IEC 31000:2018 Gesti´on del Riesgo – Directrices. • ISACA’s Risk IT Framework. • The open Group’s Factor Analysis for Information Risk (FAIR) model. • Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE). • MAGERIT metodolog´ıa de car´acter p´ublico perteneciente al Ministerio de Administraciones P´ublicas de Espa˜na. • NIST Publicaci´on Especial 800-30. • Facilitated Risk Analysis and Assesment Process (FRAAP).
  • 12. Establecer alcance, contexto y criterios Prop´osito Definir el alcance del proceso, y comprender los contextos externo e interno.
  • 13. Evaluaci´on del riesgo Definici´on Proceso global de identificaci´on, an´alisis y valoraci´on del riesgo. Objetivos: 1 Encontrar, reconocer y describir los riesgos que impiden a una organizaci´on lograr sus objetivos (Identifcar riesgos), 2 Comprender la naturaleza del riesgo y sus caracter´ısticas incluyendo el nivel de riesgo (Analizar riesgos) y 3 Comparar los resultados del an´alisis de riesgos con los criterios del riesgo establecido para determinar cuando se requiere una acci´on adicional (Valorar riesgos).
  • 14. Tratamiento del riesgo Definici´on Implementar opciones para abordar el riesgo. Es un proceso iterativo que implica: • Formular y seleccionar opciones para el tratamiento del riego; • Planificar e implementar el tratamiento del riesgo; • Evaluar la eficacia del tratamiento; • Decidir si el riesgo residual es aceptable.
  • 15. Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
  • 16. Amenazas Definici´on Posible causa de un incidente no deseado que puede resultar en da˜nos a un sistema u organizaci´on. • La entidad que se aprovecha de una vulnerabildad se denomina agente de amenaza. • Un intruso que accede a la red a trav´es de un puerto en el firewall. • Un proceso de acceso a los datos de manera que viola la pol´ıtica de seguridad. • Un tornado acabando con una instalaci´on. • Un empleado haciendo un error involuntario que podr´ıa exponer informaci´on confidencia.
  • 20. Vulnerabilidad Definici´on Debilidad de un activo o grupo de activos que puede ser explotado por una o m´as amenazas. • Se caracteriza por la ausencia o debilidad de un control que podr´ıa ser explotada. • Un servicio que se ejecuta en un servidor. • Aplicaciones sin parches o sistemas operativos sin actualizaciones. • Un puerto abierto en un firewall. • M´odem inal´ambrico sin restricciones. • Falta de seguridad f´ısica que permite que cualquiera pueda entrar en cuarto de servidores. • D´ebil administraci´on de contrase˜nas de servidores y estaciones de trabajo.
  • 21. Fuentes de divulgaci´on de vulnerabilidades • The NVD: https://nvd.nist.gov/vuln/search • CVE Details: https://www.cvedetails.com/
  • 25. Top 10 Vulnerabilidades por producto
  • 26. Tipos de vulnerabilidades m´as frecuentes • Vulnerabilidades de configuraci´on; • Validaci´on de entrada; • Salto de directorio; • Inyecci´on de comandos en el sistema operativo; • Inyecci´on SQL; • Error de b´ufer; • Fallo de autenticaci´on; • Error en la gesti´on de recursos; • Error de dise˜no;
  • 27. Malware Definici´on Programas dise˜nados para acceder a un sistema inform´atico de forma no autorizada y provocar da˜nos a este. Objetivos: • Destrucci´on o modificaci´on de informaci´on. • Robo de informaci´on y claves de acceso. • Propagaci´on a otros equipos de una misma red o a trav´es de internet. • Introducir publicidad de forma masiva. • Comprometer la integridad de las aplicaciones y sistemas operativos.
  • 28. Tipos de malware 1 Virus. 2 Cookies. 3 Troyanos. 4 Keylooger. 5 Spyware. 6 Gusanos (worms). 7 Ransoware.
  • 29. Herramientas en l´ınea para an´alisis de malware https://www.virustotal.com/gui/ https://id-ransomware.malwarehunterteam.com/
  • 30. Relaci´on amenazas y vulnerabilidades
  • 31. Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
  • 32. Probabilidad Definici´on Estimaci´on de posibilidades de que se materialce el riesgo o, lo que es lo mismo, que se produzca una amenaza real. • La probabilidad de ocurrencia de una amenaza est´a determinada por un an´alisis de vulnerabilidades.
  • 33. Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
  • 34. Clasificaci´on de Activos Definici´on Cualqueir cosa que tenga valor para la organizaci´on. 1 Tangibles • Datos • Software • Computadoras, equipos de comunicaciones, cableado. 2 Intangibles • Privacidad • Seguridad y salud de los empleados • Imagen y reputaci´on • Continuidad de las actividades • Moral del empleado
  • 35. Valor de los activos • La importance de los activos de un sistema de informaci´on depender´a de su valoraci´on. Si un activo no tiene valor, es completamnte prescindible. • Por otra parte, si un activo es necesario para el correcto funcionamiento del sistema, es que tiene cierto valor. • La valoraci´on del activo viene definida como el costo que implicar´a recuperarse de un fallo del activo provocado por alguna incidencia.
  • 36. Factores para valorar un activo 1 Costo del personal espacializado necesario para recuperar el activo (Costo de mano de obra). 2 Los ingresos perdidos por el fallo del activo. 3 Costo de adquisici´on e instalaci´on de un activo nuevo en caso de que el anterior haya resultado inservible (Costo de recuperaci´on). 4 P´erdida de percepci´on de confianza y calidad de los clientes y proveedores provocados por una interrupci´on del servicio provocada por el fallo del activo. 5 Infracciones cometidas y sanciones correspondientes al incumplimiento de requierimientos legales o de obligaciones contractuales debidas al fallo del activo. 6 Da˜nos y efectos perjudiciales provocados por el activo a otros activos, tanto propios como ajenos a la organizaci´on. 7 Da˜nos medioambientales causados por el activo. 8 Da˜nos a otras personas causadas por el activo.
  • 37. Ejemplo: P´erdida de percepci´on de confianza Fuente: Grupo de Facebook ”Facultad de Contadur´ıa y Administraci´on (FCA-UNAM)”.
  • 38. Tipos de valoraci´on de activos Auditoria de seguridad inform´atica
  • 39. Dimensiones de valoraci´on de los activos 1 Disponibilidad • ¿Cu´al ser´ıa la importancia del activo si no estuviera disponible? 2 Integridad • ¿Qu´e importancia tendr´ıa que el activo sufriera modificaciones? 3 Confidencialidad • ¿Cu´al ser´ıa la importancia del conocimiento del activo por usuarios no autorizados? 4 Autenticidad • ¿Cu´al ser´ıa la importancia del acceso al activo por parte de personas no autorizadas? 5 Trazabilidad • ¿Cu´al ser´ıa la importancia de la falta de constancia de la utilizaci´on del activo?
  • 40. Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
  • 41. Introducci´on 1 An´alisis Cualitativo de Riesgos • Utiliza elementos de la organizaci´on como opini´on, mejores pr´acticas, intuici´on, experiencia, etc. para ponderar el riesgo y sus componentes. • Aplicable a todas las situaciones 2 An´alisis Cuantitativo de Riesgos • Asigna valores monetarios (objetivos) a cada componente de la evaluaci´on de riesgos y a cada potencial p´erdida.
  • 42. An´alisis Cualitativo de Riesgos Definici´on Modelo basado en escenarios mas que en c´alculos. • En lugar de asignar el costo exacto respecto de las posibles p´erdidas, en este escenario se ponderan en escala, los riesgos, costos y efectos de una amenaza en relaci´on del activo. • Este tipo de procesos, conjuga: juicio, experiencia e intuici´on. • T´ecnicas y M´etodos utilizados: • Lluvia de ideas (Brainstorming), T´enicas Delphi, Cuestionarios, Listas (Checklist), Entrevistas, . . .
  • 43. Pasos del An´alisis Cualitativo de Riesgos 1 Definici´on de: • Niveles de probabilidad de ocurrencia de las amenazas • Niveles de impacto de las amenazas • Niveles de riesgo (en funci´on a las anteriores) 2 Clasificaci´on de las amenazas en cuanto a su probabilidad de ocurrencia e impacto. 3 Estimaci´on del riesgo
  • 46. An´alisis Cuantitativo de Riesgos Definici´on Asigna valores monetarios a cada componente de la evaluaci´on de riesgos y a cada potencial p´erdida. Pasos: 1 Asignar valores a los activos. 2 Estimar la p´erdida potencial por cada amenaza. 3 Analizar las amenazas. 4 Estimar la p´erdida anual.
  • 49. Ejemplo: Matriz an´alisis de riesgo Fuente: http://protejete.wordpress.com/gdr_principal/matriz_riesgo/
  • 50. Resultados del An´alisis Cuantitativo de Riesgos? • Valor de los activos (en dinero). • Posibles amenazas a los activos. • Probabilidad de ocurrencia de cada amenaza. • Posible p´erdida anual por cada amenaza.
  • 52. Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
  • 53. Estimar la p´erdida potencial por cada amenaza • Factor de Exposici´on (EF): Porcentaje de p´erdida que una amenaza podr´ıa tener sobre un determinado activo. • Expectativa de P´erdida Individual (SLE): Valor monetario asociado a un evento determinado. Representa la p´erdida producida por una amenaza determinada en forma individual.
  • 54. Tasa de Ocurrencia Anual (ARO) • Tasa de Ocurrencia Anual (ARO): Representa la frecuencia estimada de ocurrencia de un evento (amenaza), dentro del periodo de un a˜no.
  • 55. Estimar la p´erdida anual • Expectativa de P´erdida Anualizada (ALE): Representa la p´erdida anual producida por una amenaza determinada individual..
  • 56. C´alculo de expectativa de p´erdida anual (ALE)
  • 57. Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
  • 58. Estrategias para tratar los Riesgos 1 Mitigar: Implementar controles para reducir el nivel de riesgo. 2 Aceptar: Se acepta el riesgo en su nivel actual. 3 Transferir: Compartir el riesgo con partes externas. 4 Evitar: Cancelar la actividad que genera el riesgo.
  • 59. Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
  • 60. Control o contramedida Definici´on Cualquier tipo de mecanismo que permita identificar, proteger, detectar, responder o minimizar el riesgo asociado con la ocurrencia de una amenaza espec´ıfica. Objetivo: • Reducir los efectos producidos por las amenazas de seguridad (threats) y vulnerabilidades (vulnerabilities) a un nivel tolerable para una organizaci´on. Los controles o contramedidas pueden ser: • Preventivos / De detecci´on / Correctivos / De respuesta / De recuperaci´on. • F´ısicos / T´ecnicos (L´ogicos) / Administrativos
  • 61. Tratamiento de los Riesgos Cada organizaci´on debe definir y efectuar un proceso de tratamiento de los riesgos de seguridad para: • Seleccionar las opciones adecuadas de tratamiento de riesgos de seguridad de la informaci´on teniendo en cuenta los resultados de la apreciaci´on de riesgos. • Determinar todos los controles que sean necesarios para implementar la(s) opci´on(es) elegida(s) de tratamiento de riesgos de seguridad de la informaci´on.
  • 62. Familia de controles de acuerdo al NIST NIST Security and Privacy Controls forInformation Systems and Organizations Enlace .
  • 63. Familia de controles de acuerdo al ISO 27001 ISO/IEC 27001:2013 Enlace .
  • 65. Temario 1 Administraci´on de riesgos 2 Amenzas y vulnerabilidades 3 Determinaci´on de probabilidades 4 Valuaci´on de activos 5 Metodolog´ıas de evaluaci´on de riesgo (cualitativa y cuantitativa) 6 C´alculo de expectativa de p´erdida anual (ALE) 7 Reducci´on, transferencia y aceptaci´on de riesgos. 8 Selecci´on de medidas de contenci´on 9 Tratamiento del Riesgo
  • 66. Plan de Tratamiento de Riesgos
  • 67. Referencias bibliogr´aficas Comptia Security+ All-In-One Exam Guide, Fifth Edition (Exam Sy0-501) CHICANO Tejada, Ester., Auditor´ıa de seguridad inform´atica., 2014.