SlideShare una empresa de Scribd logo

Administracion de riesgos

Descargar como PPT, PDF
Uniminuto - San Francisco
Uniminuto - San Francisco

Administración de riesgos

Educación
1 de 43
Administración de Riesgos en Seguridad Informática
Objetivo Proveer información complementaria para la aplicación de la Administración de Riesgos en Ambientes Informáticos
Agenda  Qué es Administración de Riesgos?  Proceso de Administración de Riesgos
Qué es Administración de Riesgos? HHeerrrraammiieennttaa ggeerreenncciiaall qquuee aappooyyaa llaa ttoommaa ddee ddeecciissiioonneess oorrggaanniizzaacciioonnaalleess ffaacciilliittaannddoo ccoonn eelllloo eell ccuummpplliimmiieennttoo ddee llooss oobbjjeettiivvooss ddeell nneeggoocciioo
Qué es Administración de Riesgos? RRIIEESSGGOOSS PPrroocceessoo iitteerraattiivvoo bbaassaaddoo eenn eell ccoonnoocciimmiieennttoo,, vvaalloorraacciióónn,, ttrraattaammiieennttoo yy mmoonniittoorreeoo ddee llooss rriieessggooss yy ssuuss iimmppaaccttooss eenn eell nneeggoocciioo
Qué es Administración de Riesgos? AApplliiccaabbllee aa ccuuaallqquuiieerr ssiittuuaacciióónn ddoonnddee uunn rreessuullttaaddoo nnoo ddeesseeaaddoo oo iinneessppeerraaddoo ppooddrrííaa sseerr ssiiggnniiffiiccaattiivvoo eenn eell llooggrroo ddee llooss oobbjjeettiivvooss oo ddoonnddee ssee iiddeennttiiffiiqquueenn ooppoorrttuunniiddaaddeess ddee PPrroocceessoo PPrrooyyeeccttoo nneeggoocciioo UUbbiiccaacciióónn GGeeooggrrááffiiccaa UUnniiddaadd OOrrggaanniizzaacciioonnaall SSiisstteemmaa ddee IInnffoorrmmaacciióónn OOppoorrttuunniiddaadd
Proceso de Administración de Riesgos 1. Establecer Marco General 2. Identificar Riesgos 3. Análisis de Riesgos 4. Evaluar y Priorizar Riesgos 5. Tratamiento del Riesgo Monitorear y Revisar Monitorear y Revisar
Administración de Riesgos 1. Establecer Marco General 1.1. Entender el Entorno 1.2. Entender la Oganización 1.3. Identificar Criterios de Calificación 1.4. Identificar 1.4. Identificar O Obbjjeettooss C Crrítíticicooss
Administración de Riesgos 1. Establecer Marco General 1.1. Entender el Entorno 1.2. Entender la Oganización Análisis Externo Aspectos financieros, 1.3. Identificar Criterios de Calificación operacionales, competitivos, políticos (percepción / imagen), sociales, clientes, culturales y 1.4. Identificar 1.4. Identificar O Obbjjeettooss C Crrítíticicooss legales Stakeholders Objetivos Estrategias
Administración de Riesgos 1. Establecer Marco General MMeettooddoollooggííaa PPoollííttiiccaass 1.1. Entender el Entorno CCrriitteerriiooss ddee CCaalliiffiiccaacciióónn yy TTaabbllaass ddee VVaalloorraacciióónn UUnniivveerrssoo ddee OObbjjeettooss 1.2. Entender yy OObbjjeettooss la Oganización CCrrííttiiccooss PPrriioorriizzaaddooss 1.3. Identificar Criterios de Calificación 1.4. Identificar 1.4. Identificar O Obbjjeettooss C Crrítíticicooss
OObbjjeettoo 11 OObbjjeettoo 22 OObbjjeettoo 33 OObbjjeettoo nn CCrriitteerriioo 11 CCrriitteerriioo 22 CCrriitteerriioo 33 CCrriitteerriioo 44 CCrriitteerriioo 55 CCrriitteerriioo 66 CCrriitteerriioo 77 CCrriitteerriioo 88 CCrriitteerriioo nn Administración de Riesgos Qué y Cómo calificar - priorizar?
Administración de Riesgos Qué calificar - Objetos? Cómo dividir la organización?  Interés de la Dirección  Procesos – Subprocesos  Proyectos  Unidades Orgánicas  Sistemas - Aplicaciones  Geográficamente Lista de Objetos a los cuáles se les puede realizar Administración de Riesgos
Administración de Riesgos Qué calificar - Objetos?  Basado en Procesos (Negocio – COBIT) Planeación estratégica de sistemas Desarrollo de sistemas Evolución o mantenimiento de sistemas Integración de paquetes de software Capacitación Proceso de datos en ambientes de trabajo en batch Atención a requerimientos de usuarios Administrar servicios de terceros (incluye outsourcing) Administración de proyectos Administración de la infraestructura informática Dirección y control del área de tecnología de información Administración de recursos materiales (equipo, tecnología e instalaciones) Administración de recursos humanos Administración de recursos financieros  Basado en Sistemas  Basado en Proyectos  Basado en Infraestructura
Administración de Riesgos Qué calificar - Objetos?  Basado en Procesos (Negocio – COBIT)  Basado en Sistemas Para un sistema en particular Programas – Archivos - Procedimientos Eventos - Entrada – Comunicación – Proceso – Salida - Distribución  Basado en Proyectos  Basado en Infraestructura
Administración de Riesgos Qué calificar - Objetos?  Basado en Procesos (Negocio – COBIT)  Basado en Sistemas  Basado en Proyectos A Productos Análisis al Proceso  Basado en Infraestructura
Administración de Riesgos Qué calificar - Objetos?  Basado en Procesos (Negocio – COBIT)  Basado en Sistemas Datos Sistemas de Información (Aplicaciones) Tecnología (Equipos – SW de base y SMBD – SW de Productividad – Metodologías) Instalaciones Recursos Humanos Elementos de Administración Recursos Financieros Proveedores  Basado en Proyectos  Basado en Infraestructura
Administración de Riesgos Cómo calificar – Criterios? • Pérdida financiera • Pérdida de imagen • Discontinuidad del negocio • Incumplimiento de la misión • Calidad del Control Interno • Competencia de la Dirección (entrenamiento, experiencia, compromiso y juicio) • Integridad de la Dirección (códigos de ética) • Cambios recientes en procesos (políticas, sistemas, o dirección) • Tamaño de la Unidad (Utilidades, Ingresos, Activos) • Liquidez de activos • Cambio en personal clave • Complejidad de operaciones • Crecimiento rápido • Regulación gubernamental • Condición económica deteriorada de una unidad • Presión de la Dirección en cumplir objetivos • Nivel de moral de los empleados • Exposición política / Publicidad adversa • Distancia de la oficina principal De Negocio IIA • Exposición financiera • Pérdida y riesgo potencial • Requerimientos de la dirección • Cambios importantes en operaciones, programas, sistemas y controles • Oportunidades de alcanzar beneficios operativos • Capacidades del persona
Administración de Riesgos Cómo calificar – Criterios Seguridad Informática Confidencialidad Los activos de un sistema computacional son accedidos solo por personas autorizadas El tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o aún solo conociendo la existencia de un objeto SECRETO, RESERVA, PRIVACIDAD Integridad Disponibilidad “SOLO PERSONAS AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS” Previene la divulgación no autorizada de datos
Administración de Riesgos Cómo calificar – Criterios Seguridad Informática Los activos pueden ser modificados solo por partes autorizadas o solo en formas autorizadas La modificación incluye escribir, cambiar, cambiar estados, borrar y crear PRECISIÓN, EXACTITUD, NO MODIFICADO, MODIFICADO SOLO EN FORMAS ACEPTABLES, MODIFICADO SOLO POR PERSONAS AUTORIZADAS, MODIFICADO SOLO POR PROCESOS AUTORIZADOS, CONSISTENCIA, CONSISTENCIA INTERNA, SIGNIFICADO Y RESULTADOS CORRECTOS ACCIONES AUTORIZADAS, SEPARACIÓN Y PROTECCIÓN DE RECURSOS, Y DETECCIÓN Y Confidencialidad Integridad Disponibilidad CORRECCIÓN DE ERRORES “CONTROL RIGUROSO DE QUIEN PUEDE ACCEDER CUALES RECURSOS EN QUE FORMAS” Previene la modificación no autorizada de datos
Administración de Riesgos Cómo calificar – Criterios Seguridad Informática Los activos son accesibles a partes autorizadas PRESENCIA DE OBJETOS O SERVICIOS EN FORMA UTIL, CAPACIDAD PARA CUMPLIR LAS NECESIDADES DE SERVICIO, TIEMPO DE ESPERA LIMITADO, TIEMPO DE SERVICIO Confidencialidad Aplica a datos y servicios ADECUADO RESPUESTA OPORTUNA, TOLEREANCIA A FALLAS, UTILIDAD, CONCURRENCIA CONTROLADA (Soporte para acceso simultáneo, administración de concurrencia y Integridad Disponibilidad acceso exclusivo) NEGACIÓN O REPUDIACIÓN DEL SERVICIO Previene la negación de acceso autorizado a INDEPENDENCIA - TRASLAPO datos
Administración de Riesgos 2. Identificar Riesgos 2.1. Establecer el Contexto de Administración de Riesgos 2.2. Desarrollar Criterios de Valoración de Riesgos 2.3. Definir la Estructura 2.4. Identificar riesgos 2.5. Identificar causas
Administración de Riesgos Seguridad Informática - Activos Hardware Software Datos Medios de almacenamiento Redes Acceso Gente clave
Administración de Riesgos Seguridad en Redes – Activos (Componentes)  Hardware Servidores, estaciones cliente, dispositivos de comunicación (router, bridge, hub, gateway, modem), dispositivos periférico, cables, fibras  Software (o Servicios) Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones, herramientas (administrativas, mantenimiento, backup), software bajo desarrollo  Datos De la organización: bases de datos, hojas electrónicas, procesamiento de palabra, e-mail De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria, configuración y parámetros de la red De los usuarios: datos procesados personal, archivos de propiedad del usuario
Administración de Riesgos Seguridad en Redes - Riesgos R1 = Acceso no autorizado a la red o sus recursos R2 = Divulgación no autorizada de información R3 = Modificación no autorizada a datos y/o software R4 = Interrupción de las funciones de la red (no disponibilidad de datos o servicios) R4a = incluyendo perdida o degradación de las comunicaciones R4b = incluyendo destrucción de equipos y/o datos R4c = incluyendo negación del servicio R5 = Acciones engañosas en la red (no saber quien)
Information Security Risks  Physical Damage: Fire, water, power loss, vandalism  Human Error: Accidental or intentional action  Equipment malfunction: Failure of system  Inside and outside attacks: Hacking , cracking  Misuse of data:Sharing trade secrets  Loss od data: Intentional or unintentional loss  Application error: Computation errors, input errors
Administración de Riesgos 2. Cómo escribir Riesgos? CCoonncceeppttoo uussaaddoo ppaarraa eexxpprreessaarr iinncceerrttiidduummbbrree ssoobbrree ""ccoonnsseeccuueenncciiaass yy//oo eevveennttooss qquuee ppooddrrííaann lllleeggaarr aa iimmppaaccttaarr eell EEvveennttoo SSiittuuaacciióónn qquuee ppooddrrííaa lllleeggaarr aa ooccuurrrriirr eenn uunn lluuggaarr ddeetteerrmmiinnaaddoo eenn uunn mmoommeennttoo ddaaddoo CCaauussaa CCaauussaa llooggrroo ddee llooss oobbjjeettiivvooss"" EEvveennttoo pprriimmaarriioo ffuunnddaammeennttoo uu oorrííggeenn ddee uunnaa ccoonnsseeccuueenncciiaa EEvveennttoo pprriimmaarriioo ffuunnddaammeennttoo uu oorrííggeenn ddee uunnaa ccoonnsseeccuueenncciiaa RRiieessggoo RRiieessggoo CCoonncceeppttoo uussaaddoo ppaarraa eexxpprreessaarr iinncceerrttiidduummbbrree ssoobbrree ""ccoonnsseeccuueenncciiaass yy//oo eevveennttooss qquuee ppooddrrííaann lllleeggaarr aa iimmppaaccttaarr eell llooggrroo ddee llooss oobbjjeettiivvooss"" CCoonnsseeccuueenncciiaa CCoonnsseeccuueenncciiaa RReessuullttaaddoo ddee uunn eevveennttoo oo ssiittuuaacciióónn eexxpprreessaaddoo RReessuullttaaddoo ddee uunn eevveennttoo oo ssiittuuaacciióónn eexxpprreessaaddoo ccuuaalliittaattiivvaa oo ccuuaannttiittaattiivvaammeennttee ccuuaalliittaattiivvaa oo ccuuaannttiittaattiivvaammeennttee EEvveennttoo SSiittuuaacciióónn qquuee ppooddrrííaa lllleeggaarr aa ooccuurrrriirr eenn uunn lluuggaarr ddeetteerrmmiinnaaddoo eenn uunn mmoommeennttoo ddaaddoo
Administración de Riesgos 2. Cómo escribir Riesgos? CCoonncceeppttoo uussaaddoo ppaarraa eexxpprreessaarr iinncceerrttiidduummbbrree ssoobbrree ""ccoonnsseeccuueenncciiaass yy//oo eevveennttooss qquuee ppooddrrííaann lllleeggaarr aa iimmppaaccttaarr eell EEvveennttoo,, AAmmeennaazzaa CCaauussaa,, CCaauussaa,, llooggrroo ddee llooss oobbjjeettiivvooss"" EEvveennttoo pprriimmaarriioo oo SSiittuuaacciióónn EEvveennttoo pprriimmaarriioo oo SSiittuuaacciióónn RRiieessggoo RRiieessggoo CCoonncceeppttoo uussaaddoo ppaarraa eexxpprreessaarr iinncceerrttiidduummbbrree ssoobbrree ""ccoonnsseeccuueenncciiaass yy//oo eevveennttooss qquuee ppooddrrííaann lllleeggaarr aa iimmppaaccttaarr eell llooggrroo ddee llooss oobbjjeettiivvooss"" EEvveennttoo,, AAmmeennaazzaa CCoonnsseeccuueenncciiaa,, IImmppaaccttoo,, EExxppoossiicciióónn oo RReessuullttaaddoo CCoonnsseeccuueenncciiaa,, IImmppaaccttoo,, EExxppoossiicciióónn oo RReessuullttaaddoo ++
Administración de Riesgos Seguridad en redes – Impactos Significativos  Violación de la privacidad  Demandas legales  Perdida de tecnología propietaria  Multas  Perdida de vidas humanas  Desconcierto en la organización  Perdida de confianza
Administración de Riesgos Seguridad Informática - Amenazas  Naturales  Accidentales  Deliberadas
Administración de Riesgos Seguridad Informática – Amenazas Naturales Origen Amenaza directa Impacto inmediato Terremotos, Interrupción de potencia, R4, R4a, R4b tormentas temperatura extrema debido eléctricas a daños en construcciones, Fenómenos Perturbaciones R4, R4a astrofísicos electromagnéticas Fenómenos Muerte de personal crítico R4, R4c biológicos
Administración de Riesgos Seguridad Informática – Amenazas Accidentales Origen Amenaza directa Impacto inmediato Error del Usuario Error del Administrador Fallas de equipos Borrado de archivos, Formateo de drive, mal empleo de equipos, errores de entrada Configuración inapropiada de parámetros, borrado de información Problemas técnicos con servidores de archivos, servidores de impresión, dispositivos de comunicación, estaciones cliente, equipo de soporte (cintas de back-up, control de acceso, derrame de café) R3, R4 R1: R2, R3, R4, R5 R3, R4, R4b
Administración de Riesgos Seguridad Informática – Involucrados •Amateurs •Hackers • Empleados maliciosos • Rateros •Crackers • Vándalos •Criminales •Espías (gobiernos foráneos) • Terroristas
Administración de Riesgos Seguridad Informática – Vulnerabilidades Características o debilidades en el sistema de seguridad que pueden ser explotadas para causar daños o perdidas (facilitan la ocurrencia de una amenaza) • Interrupción: un activo se pierde, no está disponible, o no se puede utilizar • Intercepción: alguna parte (persona, programa o sistema de computo) no autorizada accede un activo • Modificación: una parte no autorizada accede y manipula indebidamente un activo • Fabricación: Fabricar e insertar objetos falsos en un sistema computacional
Administración de Riesgos Seguridad Informática – Vulnerabilidades Interrupción (Negación del Servicio) Intercepción (Robo) Hardware Actos Involuntarios/Accidentales – Intencionales/Voluntarios que limitan la disponibilidad Software Datos Destrucción Agua, Fuego, Problemas de potencia, Alimentos, Ratones, Cenizas, Ataques físicos, Bombas Robo
Administración de Riesgos Seguridad Informática – Vulnerabilidades Hardware Software Datos Interrupción (Borrado) Intercepción Modificación Borrado accidental o destrucción de programas Robo - Copia ilícita de programas Causar fallas o errores Salvar una copia mala de un programa destruyendo una buena, Programas modificados (cambio de bits, de instrucciones – bombas lógicas, efectos colaterales) Caballos de Troya, Virus, Puerta falsa, Fuga de Información
Administración de Riesgos Seguridad Informática – Vulnerabilidades Hardware Software Datos Interrupción (Perdida) Intercepción Modificación Fabricación Robo Confidencialidad – líneas derivadas, recipientes de basura, soborno a empleados claves, inferencia, preguntando, compra Programas maliciosos – Técnica de salami, utilidades del sistema de archivos, facilidades de comunicación defectuosas Reprocesamiento de datos utilizados, adicionar registros en una base de datos
Administración de Riesgos 3. Analizar Riesgos 3.1. Valorar Riesgo Inherente 3.2. Determinar Controles Existentes 3.3. Identificar Nivel de Exposición Valorar el posible daño que puede ser causado
Administración de Riesgos Cómo valorar riesgo? Probabilidad x Impacto Frecuencia x Impacto $ Inherente Nivel de exposición Residual
Administración de Riesgos Controles en Seguridad Controles Administrativos Politícas, Estándares, Procedimientos, Guías, Entrenamiento Controles Técnicos Acceso lógico, controles, encripción, dispositivos de seguridad, Identificación y autenticación Controles físicos Protección de instalaciones, Guardias, candados, Monitoreo, Controles ambientales
Administración de Riesgos Controles en Seguridad Medidas protectoras – acciones, dispositivos, procedimientos o técnicas – que reducen una vulnerabilidad Encripción Conf. Integ. Disp. Interr. Interc. Mod. Fab. Administración de la Configuración (Control de Cambios a Programas) Políticas Controles de Hardware Controles Físicos (candados y guardas)
Monitorea r y Revisar Monitorea r y Revisar Valorar prioridades de riesgo Riesgo aceptable? SI Aceptar Transferir Evitar total o parcialmente Reducir NO consecuencia Reducir probabilidad Considerar factibilidad, costos y beneficios, y niveles de riesgo Recomendar estrategias de tratamiento Seleccionar estrategia de tratamiento Preparar planes de tratamiento para reducir, transferir o evitar el riesgo, financiando cuando sea apropiado Transferir Evitar total o parcialmente Reducir consecuencia Reducir probabilidad NORiesgo residual aceptable? SI Retener VALORAR Y PRIORIZAR RIESGOS IDENTIFICAR OPCIONES DE TRATAMIENTO EVALUAR OPCIONES DE TRATAMIENTO PREPARAR PLANES DE TRATAMIENTO IMPLEMENTAR PLANES DE TRATAMIENTO Riesgo residual no aceptable Porción retenida Porción transferida Asegurar la efectividad costo/beneficio de los controles
Administración de Riesgos Dónde invertir? Principio de la Adecuada Protección: Los ítems deben ser protegidos solo hasta que ellos pierden su valor y deben ser protegidos de manera consistente con su valor Hardware Software Datos Variables: Cantidad de involucrados Esfuerzo de Aseguramiento Valor del activo Duración del Activo Esfuerzo de detección de incidentes Impacto en los objetivos del negocio Efectividad de la medida Nivel de sofisticación Facilidad de uso
Bibliografía  Security in Computing – Charles P. Pfleeger – Prentice Hall  Network Security - Analysis and Implementation - January 1996 - MG-1 - http://www.cse.dnd.ca - Government of Canadá, Communications Security Establishment (CSE)

Recomendados

Administración de riesgos en informatica
Administración de riesgos en informaticaAdministración de riesgos en informatica
Administración de riesgos en informaticargabrielnaranjo
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosoamz
 
1.6 Activos Informáticos
1.6 Activos Informáticos1.6 Activos Informáticos
1.6 Activos InformáticosMeztli Valeriano Orozco
 
Construccion de sistemas
Construccion de sistemasConstruccion de sistemas
Construccion de sistemasMileidy Castillo
 
Control del sistema de información
Control del sistema de informaciónControl del sistema de información
Control del sistema de informaciónsanty6a
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticosSamuel_Sullon
 
Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]caramelomix
 
Principales áreas de la auditoria informática
Principales áreas de la auditoria informáticaPrincipales áreas de la auditoria informática
Principales áreas de la auditoria informáticakicwua
 

Recomendados

Administración de riesgos en informatica
Administración de riesgos en informaticaAdministración de riesgos en informatica
Administración de riesgos en informaticargabrielnaranjo
 
Capitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosCapitulo 10 auditoria en base de datos
Capitulo 10 auditoria en base de datosoamz
 
1.6 Activos Informáticos
1.6 Activos Informáticos1.6 Activos Informáticos
1.6 Activos InformáticosMeztli Valeriano Orozco
 
Construccion de sistemas
Construccion de sistemasConstruccion de sistemas
Construccion de sistemasMileidy Castillo
 
Control del sistema de información
Control del sistema de informaciónControl del sistema de información
Control del sistema de informaciónsanty6a
 
Auditoria y control informaticos
Auditoria y control informaticosAuditoria y control informaticos
Auditoria y control informaticosSamuel_Sullon
 
Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]Auditoria en desarrollo de sistemas diapo[1]
Auditoria en desarrollo de sistemas diapo[1]caramelomix
 
Principales áreas de la auditoria informática
Principales áreas de la auditoria informáticaPrincipales áreas de la auditoria informática
Principales áreas de la auditoria informáticakicwua
 
Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control InternoRoberto Porozo
 
Presentación "Seguridad de la Información en el Sector Legal"
Presentación "Seguridad de la Información en el Sector Legal"Presentación "Seguridad de la Información en el Sector Legal"
Presentación "Seguridad de la Información en el Sector Legal"Sisem Soluciones de Información S.A
 
Auditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoAuditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoEfrain Reyes
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datosMohamed Noo Noo
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1Andres1dz
 
SATD
SATDSATD
SATDScoutES7
 
Auditoria de seguridad
Auditoria de seguridadAuditoria de seguridad
Auditoria de seguridadargentm
 
Auditoria de la ofimatica
Auditoria de la ofimaticaAuditoria de la ofimatica
Auditoria de la ofimaticaManuel Medina
 
Sistemasdeinformacionenlosnegociosglobalescontemporaneos 170605033524
Sistemasdeinformacionenlosnegociosglobalescontemporaneos 170605033524Sistemasdeinformacionenlosnegociosglobalescontemporaneos 170605033524
Sistemasdeinformacionenlosnegociosglobalescontemporaneos 170605033524Victor Zapata
 
Principales áreas de la auditoria informática
Principales áreas de la auditoria informáticaPrincipales áreas de la auditoria informática
Principales áreas de la auditoria informáticapatricialadura
 
Auditoria De La Ofimatica
Auditoria De La OfimaticaAuditoria De La Ofimatica
Auditoria De La Ofimaticaguestbb37f8
 
Material de apoyo y complementario tema 1
Material de apoyo y complementario tema 1Material de apoyo y complementario tema 1
Material de apoyo y complementario tema 1RosangelUricare
 
La auditoría informática
La auditoría informáticaLa auditoría informática
La auditoría informáticaLeogenis Leon
 
Auditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaAuditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaLeidy Andrea Sanchez
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoUniciencia
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controlesAlexander Velasque Rimac
 
Metodologamtrica3
Metodologamtrica3Metodologamtrica3
Metodologamtrica3Victor Zapata
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemascarloscv
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1aleleo1
 
Administración de Riesgos
Administración de RiesgosAdministración de Riesgos
Administración de RiesgosInstitución Univeristaria de Envigado - SGI
 
Señaletica
SeñaleticaSeñaletica
Señaleticacotocollao
 

Más contenido relacionado

La actualidad más candente

Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control InternoRoberto Porozo
 
Auditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoAuditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoEfrain Reyes
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datosMohamed Noo Noo
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1Andres1dz
 
Auditoria de seguridad
Auditoria de seguridadAuditoria de seguridad
Auditoria de seguridadargentm
 
Auditoria de la ofimatica
Auditoria de la ofimaticaAuditoria de la ofimatica
Auditoria de la ofimaticaManuel Medina
 
Sistemasdeinformacionenlosnegociosglobalescontemporaneos 170605033524
Sistemasdeinformacionenlosnegociosglobalescontemporaneos 170605033524Sistemasdeinformacionenlosnegociosglobalescontemporaneos 170605033524
Sistemasdeinformacionenlosnegociosglobalescontemporaneos 170605033524Victor Zapata
 
Principales áreas de la auditoria informática
Principales áreas de la auditoria informáticaPrincipales áreas de la auditoria informática
Principales áreas de la auditoria informáticapatricialadura
 
Auditoria De La Ofimatica
Auditoria De La OfimaticaAuditoria De La Ofimatica
Auditoria De La Ofimaticaguestbb37f8
 
Material de apoyo y complementario tema 1
Material de apoyo y complementario tema 1Material de apoyo y complementario tema 1
Material de apoyo y complementario tema 1RosangelUricare
 
La auditoría informática
La auditoría informáticaLa auditoría informática
La auditoría informáticaLeogenis Leon
 
Auditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaAuditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaLeidy Andrea Sanchez
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoUniciencia
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemascarloscv
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptFredy EC
 
Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1aleleo1
 

La actualidad más candente (20)

Auditoría Informática y Control Interno
Auditoría Informática y Control InternoAuditoría Informática y Control Interno
Auditoría Informática y Control Interno
 
Presentación "Seguridad de la Información en el Sector Legal"
Presentación "Seguridad de la Información en el Sector Legal"Presentación "Seguridad de la Información en el Sector Legal"
Presentación "Seguridad de la Información en el Sector Legal"
 
Auditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimientoAuditoría de la explotación, del desarrollo y del mantenimiento
Auditoría de la explotación, del desarrollo y del mantenimiento
 
Auditoria de base de datos
Auditoria de base de datosAuditoria de base de datos
Auditoria de base de datos
 
Principales areas parte1
Principales areas parte1Principales areas parte1
Principales areas parte1
 
SATD
SATDSATD
SATD
 
Auditoria de seguridad
Auditoria de seguridadAuditoria de seguridad
Auditoria de seguridad
 
Auditoria de la ofimatica
Auditoria de la ofimaticaAuditoria de la ofimatica
Auditoria de la ofimatica
 
Sistemasdeinformacionenlosnegociosglobalescontemporaneos 170605033524
Sistemasdeinformacionenlosnegociosglobalescontemporaneos 170605033524Sistemasdeinformacionenlosnegociosglobalescontemporaneos 170605033524
Sistemasdeinformacionenlosnegociosglobalescontemporaneos 170605033524
 
Principales áreas de la auditoria informática
Principales áreas de la auditoria informáticaPrincipales áreas de la auditoria informática
Principales áreas de la auditoria informática
 
Auditoria De La Ofimatica
Auditoria De La OfimaticaAuditoria De La Ofimatica
Auditoria De La Ofimatica
 
Material de apoyo y complementario tema 1
Material de apoyo y complementario tema 1Material de apoyo y complementario tema 1
Material de apoyo y complementario tema 1
 
La auditoría informática
La auditoría informáticaLa auditoría informática
La auditoría informática
 
Auditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisaAuditoria de tecnica de sistemas luisa
Auditoria de tecnica de sistemas luisa
 
Auditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamientoAuditoria a aplicaciones en funcionamiento
Auditoria a aplicaciones en funcionamiento
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Metodologamtrica3
Metodologamtrica3Metodologamtrica3
Metodologamtrica3
 
Auditoria De Sistemas
Auditoria De SistemasAuditoria De Sistemas
Auditoria De Sistemas
 
Auditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.pptAuditoria, seguridad y control de sistemas.ppt
Auditoria, seguridad y control de sistemas.ppt
 
Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1
 

Destacado

Clasificacion de riesgos
Clasificacion de riesgosClasificacion de riesgos
Clasificacion de riesgosOTAGRI2020
 
Administración de riesgos
Administración de riesgosAdministración de riesgos
Administración de riesgosUNAM
 
Administración de Base de Datos
Administración de Base de DatosAdministración de Base de Datos
Administración de Base de DatosAxel Mérida
 
12. tesis. capítulo 2
12. tesis. capítulo 212. tesis. capítulo 2
12. tesis. capítulo 2ucc
 
Amenazas Informaticas
Amenazas InformaticasAmenazas Informaticas
Amenazas InformaticasDimiber
 
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraJack Daniel Cáceres Meza
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicasjigabrego
 
Presentacion gestión de los riesgos del proyecto
Presentacion gestión de los riesgos del proyectoPresentacion gestión de los riesgos del proyecto
Presentacion gestión de los riesgos del proyectoJuan Paúl Chávez Sierra
 
Administracion de proyectos
Administracion de proyectosAdministracion de proyectos
Administracion de proyectosErik Zacarias
 
Administracion de proyectos
Administracion de proyectosAdministracion de proyectos
Administracion de proyectosTensor
 
Administración de riesgos en un proyecto software
Administración de riesgos en un proyecto softwareAdministración de riesgos en un proyecto software
Administración de riesgos en un proyecto softwareAnna Vega
 
Administracion de riesgos(1)
Administracion de riesgos(1)Administracion de riesgos(1)
Administracion de riesgos(1)Gabriela Molina
 

Destacado (20)

Administración de Riesgos
Administración de RiesgosAdministración de Riesgos
Administración de Riesgos
 
Señaletica
SeñaleticaSeñaletica
Señaletica
 
Clasificacion de riesgos
Clasificacion de riesgosClasificacion de riesgos
Clasificacion de riesgos
 
Economia 3
Economia 3Economia 3
Economia 3
 
Redes de acceso
Redes de accesoRedes de acceso
Redes de acceso
 
Administración de riesgos
Administración de riesgosAdministración de riesgos
Administración de riesgos
 
Administración de Base de Datos
Administración de Base de DatosAdministración de Base de Datos
Administración de Base de Datos
 
12. tesis. capítulo 2
12. tesis. capítulo 212. tesis. capítulo 2
12. tesis. capítulo 2
 
Amenazas Informaticas
Amenazas InformaticasAmenazas Informaticas
Amenazas Informaticas
 
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
 
Riesgo Operativo
Riesgo OperativoRiesgo Operativo
Riesgo Operativo
 
Amenazas lógicas
Amenazas lógicasAmenazas lógicas
Amenazas lógicas
 
Presentacion gestión de los riesgos del proyecto
Presentacion gestión de los riesgos del proyectoPresentacion gestión de los riesgos del proyecto
Presentacion gestión de los riesgos del proyecto
 
Riesgos
RiesgosRiesgos
Riesgos
 
Analisis de riesgo
Analisis de riesgoAnalisis de riesgo
Analisis de riesgo
 
Administracion de proyectos
Administracion de proyectosAdministracion de proyectos
Administracion de proyectos
 
Administracion de proyectos
Administracion de proyectosAdministracion de proyectos
Administracion de proyectos
 
Administración de riesgos en un proyecto software
Administración de riesgos en un proyecto softwareAdministración de riesgos en un proyecto software
Administración de riesgos en un proyecto software
 
Administracion de riesgos(1)
Administracion de riesgos(1)Administracion de riesgos(1)
Administracion de riesgos(1)
 
Administración de Riesgos Financieros
Administración de Riesgos FinancierosAdministración de Riesgos Financieros
Administración de Riesgos Financieros
 

Similar a Administracion de riesgos

introducción a la auditoria de sistemas
introducción a la auditoria de sistemas introducción a la auditoria de sistemas
introducción a la auditoria de sistemasUPTM
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Edna Lasso
 
calidad de la auditorias de sistemas de información
calidad de la auditorias de sistemas de información calidad de la auditorias de sistemas de información
calidad de la auditorias de sistemas de información danielmarquez77
 
Diapositivas tgs
Diapositivas tgsDiapositivas tgs
Diapositivas tgsmara001
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasOvi Larios
 
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACION
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACIONLISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACION
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACIONsistemas6si
 

Similar a Administracion de riesgos (20)

Administracion
AdministracionAdministracion
Administracion
 
Taller extra 3
Taller extra 3Taller extra 3
Taller extra 3
 
Taller extra 3
Taller extra 3Taller extra 3
Taller extra 3
 
Taller extra 3
Taller extra 3Taller extra 3
Taller extra 3
 
Taller 3
Taller 3Taller 3
Taller 3
 
Taller 3
Taller 3Taller 3
Taller 3
 
Taller extra 3
Taller extra 3Taller extra 3
Taller extra 3
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
 
introducción a la auditoria de sistemas
introducción a la auditoria de sistemas introducción a la auditoria de sistemas
introducción a la auditoria de sistemas
 
Auditoría informatica.
Auditoría informatica.Auditoría informatica.
Auditoría informatica.
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2
 
calidad de la auditorias de sistemas de información
calidad de la auditorias de sistemas de información calidad de la auditorias de sistemas de información
calidad de la auditorias de sistemas de información
 
Cobit
CobitCobit
Cobit
 
Introducción ISO/IEC 27001:2013
Introducción ISO/IEC 27001:2013Introducción ISO/IEC 27001:2013
Introducción ISO/IEC 27001:2013
 
Auditoria de Sistemas.pdf
Auditoria de Sistemas.pdfAuditoria de Sistemas.pdf
Auditoria de Sistemas.pdf
 
Auditoría Informática
Auditoría InformáticaAuditoría Informática
Auditoría Informática
 
Modulo
ModuloModulo
Modulo
 
Diapositivas tgs
Diapositivas tgsDiapositivas tgs
Diapositivas tgs
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACION
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACIONLISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACION
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACION
 

Más de Uniminuto - San Francisco

Taller 32020 inducc ion estudiantes uvdgenesis
Taller 32020 inducc ion estudiantes uvdgenesisTaller 32020 inducc ion estudiantes uvdgenesis
Taller 32020 inducc ion estudiantes uvdgenesisUniminuto - San Francisco
 
Cambio de contrasena estudiantes nuevos.docx
Cambio de contrasena estudiantes nuevos.docxCambio de contrasena estudiantes nuevos.docx
Cambio de contrasena estudiantes nuevos.docxUniminuto - San Francisco
 
Proyecto sintesis grado sexto tercer periodo 2016
Proyecto sintesis grado sexto tercer periodo 2016Proyecto sintesis grado sexto tercer periodo 2016
Proyecto sintesis grado sexto tercer periodo 2016Uniminuto - San Francisco
 
Cu00927 c gestion excepciones java try catch finally ejemplos ejercicios
Cu00927 c gestion excepciones java try catch finally ejemplos ejerciciosCu00927 c gestion excepciones java try catch finally ejemplos ejercicios
Cu00927 c gestion excepciones java try catch finally ejemplos ejerciciosUniminuto - San Francisco
 

Más de Uniminuto - San Francisco (20)

Taller 32020 inducc ion estudiantes uvdgenesis
Taller 32020 inducc ion estudiantes uvdgenesisTaller 32020 inducc ion estudiantes uvdgenesis
Taller 32020 inducc ion estudiantes uvdgenesis
 
2019 ind estudiantes uvd2 sesiones
2019 ind estudiantes uvd2 sesiones2019 ind estudiantes uvd2 sesiones
2019 ind estudiantes uvd2 sesiones
 
Cambio de contrasena estudiantes nuevos.docx
Cambio de contrasena estudiantes nuevos.docxCambio de contrasena estudiantes nuevos.docx
Cambio de contrasena estudiantes nuevos.docx
 
1. induccion sstga 2018 (version 4)
1. induccion sstga 2018 (version 4)1. induccion sstga 2018 (version 4)
1. induccion sstga 2018 (version 4)
 
Pastoral y bienestar
Pastoral y bienestarPastoral y bienestar
Pastoral y bienestar
 
Proyección social
Proyección socialProyección social
Proyección social
 
Presentación planeación
Presentación planeaciónPresentación planeación
Presentación planeación
 
Dayf
DayfDayf
Dayf
 
Uniminuto
UniminutoUniminuto
Uniminuto
 
Uniminuto
UniminutoUniminuto
Uniminuto
 
Modulo2 - Calidad
Modulo2 - CalidadModulo2 - Calidad
Modulo2 - Calidad
 
Investigación
InvestigaciónInvestigación
Investigación
 
201750 aplicación de encuestas gbi[12469]
201750 aplicación de encuestas gbi[12469]201750 aplicación de encuestas gbi[12469]
201750 aplicación de encuestas gbi[12469]
 
Presentaciones 3.1
Presentaciones 3.1Presentaciones 3.1
Presentaciones 3.1
 
Funcionamiento interno de un pc
Funcionamiento interno de un pcFuncionamiento interno de un pc
Funcionamiento interno de un pc
 
Proyecto sintesis grado sexto tercer periodo 2016
Proyecto sintesis grado sexto tercer periodo 2016Proyecto sintesis grado sexto tercer periodo 2016
Proyecto sintesis grado sexto tercer periodo 2016
 
Formulas en excel
Formulas en excelFormulas en excel
Formulas en excel
 
Try catch finally
Try catch finallyTry catch finally
Try catch finally
 
Cu00927 c gestion excepciones java try catch finally ejemplos ejercicios
Cu00927 c gestion excepciones java try catch finally ejemplos ejerciciosCu00927 c gestion excepciones java try catch finally ejemplos ejercicios
Cu00927 c gestion excepciones java try catch finally ejemplos ejercicios
 
Fórmulas en excel
Fórmulas en excelFórmulas en excel
Fórmulas en excel
 

Último

FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAEl Fortí
 
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Carlos Muñoz
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdfgimenanahuel
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.amayarogel
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxlclcarmen
 
Manual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfManual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfMaryRotonda1
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosCesarFernandez937857
 
Neurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfNeurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfDemetrio Ccesa Rayme
 
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxTECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxKarlaMassielMartinez
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...JAVIER SOLIS NOYOLA
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADauxsoporte
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADOJosé Luis Palma
 
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxzulyvero07
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoDiegoMtsS
 
la unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscala unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscaeliseo91
 
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxlclcarmen
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzprofefilete
 

Último (20)

FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURAFORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
FORTI-MAYO 2024.pdf.CIENCIA,EDUCACION,CULTURA
 
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
Plan Refuerzo Escolar 2024 para estudiantes con necesidades de Aprendizaje en...
 
Unidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la InvestigaciónUnidad 3 | Metodología de la Investigación
Unidad 3 | Metodología de la Investigación
 
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdfPlanificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
Planificacion Anual 2do Grado Educacion Primaria 2024 Ccesa007.pdf
 
30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf30-de-abril-plebiscito-1902_240420_104511.pdf
30-de-abril-plebiscito-1902_240420_104511.pdf
 
La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.La triple Naturaleza del Hombre estudio.
La triple Naturaleza del Hombre estudio.
 
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptxTIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
TIPOLOGÍA TEXTUAL- EXPOSICIÓN Y ARGUMENTACIÓN.pptx
 
Manual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfManual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdf
 
Informatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos BásicosInformatica Generalidades - Conceptos Básicos
Informatica Generalidades - Conceptos Básicos
 
Neurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdfNeurociencias para Educadores NE24 Ccesa007.pdf
Neurociencias para Educadores NE24 Ccesa007.pdf
 
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptxTECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
TECNOLOGÍA FARMACEUTICA OPERACIONES UNITARIAS.pptx
 
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
ACERTIJO DE LA BANDERA OLÍMPICA CON ECUACIONES DE LA CIRCUNFERENCIA. Por JAVI...
 
CALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDADCALENDARIZACION DE MAYO / RESPONSABILIDAD
CALENDARIZACION DE MAYO / RESPONSABILIDAD
 
Sesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdfSesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdf
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
 
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptxACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
ACUERDO MINISTERIAL 078-ORGANISMOS ESCOLARES..pptx
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para evento
 
la unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fiscala unidad de s sesion edussssssssssssssscacio fisca
la unidad de s sesion edussssssssssssssscacio fisca
 
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptxSINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
SINTAXIS DE LA ORACIÓN SIMPLE 2023-2024.pptx
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
 

Administracion de riesgos

  • 1. Administración de Riesgos en Seguridad Informática
  • 2. Objetivo Proveer información complementaria para la aplicación de la Administración de Riesgos en Ambientes Informáticos
  • 3. Agenda  Qué es Administración de Riesgos?  Proceso de Administración de Riesgos
  • 4. Qué es Administración de Riesgos? HHeerrrraammiieennttaa ggeerreenncciiaall qquuee aappooyyaa llaa ttoommaa ddee ddeecciissiioonneess oorrggaanniizzaacciioonnaalleess ffaacciilliittaannddoo ccoonn eelllloo eell ccuummpplliimmiieennttoo ddee llooss oobbjjeettiivvooss ddeell nneeggoocciioo
  • 5. Qué es Administración de Riesgos? RRIIEESSGGOOSS PPrroocceessoo iitteerraattiivvoo bbaassaaddoo eenn eell ccoonnoocciimmiieennttoo,, vvaalloorraacciióónn,, ttrraattaammiieennttoo yy mmoonniittoorreeoo ddee llooss rriieessggooss yy ssuuss iimmppaaccttooss eenn eell nneeggoocciioo
  • 6. Qué es Administración de Riesgos? AApplliiccaabbllee aa ccuuaallqquuiieerr ssiittuuaacciióónn ddoonnddee uunn rreessuullttaaddoo nnoo ddeesseeaaddoo oo iinneessppeerraaddoo ppooddrrííaa sseerr ssiiggnniiffiiccaattiivvoo eenn eell llooggrroo ddee llooss oobbjjeettiivvooss oo ddoonnddee ssee iiddeennttiiffiiqquueenn ooppoorrttuunniiddaaddeess ddee PPrroocceessoo PPrrooyyeeccttoo nneeggoocciioo UUbbiiccaacciióónn GGeeooggrrááffiiccaa UUnniiddaadd OOrrggaanniizzaacciioonnaall SSiisstteemmaa ddee IInnffoorrmmaacciióónn OOppoorrttuunniiddaadd
  • 7. Proceso de Administración de Riesgos 1. Establecer Marco General 2. Identificar Riesgos 3. Análisis de Riesgos 4. Evaluar y Priorizar Riesgos 5. Tratamiento del Riesgo Monitorear y Revisar Monitorear y Revisar
  • 8. Administración de Riesgos 1. Establecer Marco General 1.1. Entender el Entorno 1.2. Entender la Oganización 1.3. Identificar Criterios de Calificación 1.4. Identificar 1.4. Identificar O Obbjjeettooss C Crrítíticicooss
  • 9. Administración de Riesgos 1. Establecer Marco General 1.1. Entender el Entorno 1.2. Entender la Oganización Análisis Externo Aspectos financieros, 1.3. Identificar Criterios de Calificación operacionales, competitivos, políticos (percepción / imagen), sociales, clientes, culturales y 1.4. Identificar 1.4. Identificar O Obbjjeettooss C Crrítíticicooss legales Stakeholders Objetivos Estrategias
  • 10. Administración de Riesgos 1. Establecer Marco General MMeettooddoollooggííaa PPoollííttiiccaass 1.1. Entender el Entorno CCrriitteerriiooss ddee CCaalliiffiiccaacciióónn yy TTaabbllaass ddee VVaalloorraacciióónn UUnniivveerrssoo ddee OObbjjeettooss 1.2. Entender yy OObbjjeettooss la Oganización CCrrííttiiccooss PPrriioorriizzaaddooss 1.3. Identificar Criterios de Calificación 1.4. Identificar 1.4. Identificar O Obbjjeettooss C Crrítíticicooss
  • 11. OObbjjeettoo 11 OObbjjeettoo 22 OObbjjeettoo 33 OObbjjeettoo nn CCrriitteerriioo 11 CCrriitteerriioo 22 CCrriitteerriioo 33 CCrriitteerriioo 44 CCrriitteerriioo 55 CCrriitteerriioo 66 CCrriitteerriioo 77 CCrriitteerriioo 88 CCrriitteerriioo nn Administración de Riesgos Qué y Cómo calificar - priorizar?
  • 12. Administración de Riesgos Qué calificar - Objetos? Cómo dividir la organización?  Interés de la Dirección  Procesos – Subprocesos  Proyectos  Unidades Orgánicas  Sistemas - Aplicaciones  Geográficamente Lista de Objetos a los cuáles se les puede realizar Administración de Riesgos
  • 13. Administración de Riesgos Qué calificar - Objetos?  Basado en Procesos (Negocio – COBIT) Planeación estratégica de sistemas Desarrollo de sistemas Evolución o mantenimiento de sistemas Integración de paquetes de software Capacitación Proceso de datos en ambientes de trabajo en batch Atención a requerimientos de usuarios Administrar servicios de terceros (incluye outsourcing) Administración de proyectos Administración de la infraestructura informática Dirección y control del área de tecnología de información Administración de recursos materiales (equipo, tecnología e instalaciones) Administración de recursos humanos Administración de recursos financieros  Basado en Sistemas  Basado en Proyectos  Basado en Infraestructura
  • 14. Administración de Riesgos Qué calificar - Objetos?  Basado en Procesos (Negocio – COBIT)  Basado en Sistemas Para un sistema en particular Programas – Archivos - Procedimientos Eventos - Entrada – Comunicación – Proceso – Salida - Distribución  Basado en Proyectos  Basado en Infraestructura
  • 15. Administración de Riesgos Qué calificar - Objetos?  Basado en Procesos (Negocio – COBIT)  Basado en Sistemas  Basado en Proyectos A Productos Análisis al Proceso  Basado en Infraestructura
  • 16. Administración de Riesgos Qué calificar - Objetos?  Basado en Procesos (Negocio – COBIT)  Basado en Sistemas Datos Sistemas de Información (Aplicaciones) Tecnología (Equipos – SW de base y SMBD – SW de Productividad – Metodologías) Instalaciones Recursos Humanos Elementos de Administración Recursos Financieros Proveedores  Basado en Proyectos  Basado en Infraestructura
  • 17. Administración de Riesgos Cómo calificar – Criterios? • Pérdida financiera • Pérdida de imagen • Discontinuidad del negocio • Incumplimiento de la misión • Calidad del Control Interno • Competencia de la Dirección (entrenamiento, experiencia, compromiso y juicio) • Integridad de la Dirección (códigos de ética) • Cambios recientes en procesos (políticas, sistemas, o dirección) • Tamaño de la Unidad (Utilidades, Ingresos, Activos) • Liquidez de activos • Cambio en personal clave • Complejidad de operaciones • Crecimiento rápido • Regulación gubernamental • Condición económica deteriorada de una unidad • Presión de la Dirección en cumplir objetivos • Nivel de moral de los empleados • Exposición política / Publicidad adversa • Distancia de la oficina principal De Negocio IIA • Exposición financiera • Pérdida y riesgo potencial • Requerimientos de la dirección • Cambios importantes en operaciones, programas, sistemas y controles • Oportunidades de alcanzar beneficios operativos • Capacidades del persona
  • 18. Administración de Riesgos Cómo calificar – Criterios Seguridad Informática Confidencialidad Los activos de un sistema computacional son accedidos solo por personas autorizadas El tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o aún solo conociendo la existencia de un objeto SECRETO, RESERVA, PRIVACIDAD Integridad Disponibilidad “SOLO PERSONAS AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS” Previene la divulgación no autorizada de datos
  • 19. Administración de Riesgos Cómo calificar – Criterios Seguridad Informática Los activos pueden ser modificados solo por partes autorizadas o solo en formas autorizadas La modificación incluye escribir, cambiar, cambiar estados, borrar y crear PRECISIÓN, EXACTITUD, NO MODIFICADO, MODIFICADO SOLO EN FORMAS ACEPTABLES, MODIFICADO SOLO POR PERSONAS AUTORIZADAS, MODIFICADO SOLO POR PROCESOS AUTORIZADOS, CONSISTENCIA, CONSISTENCIA INTERNA, SIGNIFICADO Y RESULTADOS CORRECTOS ACCIONES AUTORIZADAS, SEPARACIÓN Y PROTECCIÓN DE RECURSOS, Y DETECCIÓN Y Confidencialidad Integridad Disponibilidad CORRECCIÓN DE ERRORES “CONTROL RIGUROSO DE QUIEN PUEDE ACCEDER CUALES RECURSOS EN QUE FORMAS” Previene la modificación no autorizada de datos
  • 20. Administración de Riesgos Cómo calificar – Criterios Seguridad Informática Los activos son accesibles a partes autorizadas PRESENCIA DE OBJETOS O SERVICIOS EN FORMA UTIL, CAPACIDAD PARA CUMPLIR LAS NECESIDADES DE SERVICIO, TIEMPO DE ESPERA LIMITADO, TIEMPO DE SERVICIO Confidencialidad Aplica a datos y servicios ADECUADO RESPUESTA OPORTUNA, TOLEREANCIA A FALLAS, UTILIDAD, CONCURRENCIA CONTROLADA (Soporte para acceso simultáneo, administración de concurrencia y Integridad Disponibilidad acceso exclusivo) NEGACIÓN O REPUDIACIÓN DEL SERVICIO Previene la negación de acceso autorizado a INDEPENDENCIA - TRASLAPO datos
  • 21. Administración de Riesgos 2. Identificar Riesgos 2.1. Establecer el Contexto de Administración de Riesgos 2.2. Desarrollar Criterios de Valoración de Riesgos 2.3. Definir la Estructura 2.4. Identificar riesgos 2.5. Identificar causas
  • 22. Administración de Riesgos Seguridad Informática - Activos Hardware Software Datos Medios de almacenamiento Redes Acceso Gente clave
  • 23. Administración de Riesgos Seguridad en Redes – Activos (Componentes)  Hardware Servidores, estaciones cliente, dispositivos de comunicación (router, bridge, hub, gateway, modem), dispositivos periférico, cables, fibras  Software (o Servicios) Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones, herramientas (administrativas, mantenimiento, backup), software bajo desarrollo  Datos De la organización: bases de datos, hojas electrónicas, procesamiento de palabra, e-mail De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria, configuración y parámetros de la red De los usuarios: datos procesados personal, archivos de propiedad del usuario
  • 24. Administración de Riesgos Seguridad en Redes - Riesgos R1 = Acceso no autorizado a la red o sus recursos R2 = Divulgación no autorizada de información R3 = Modificación no autorizada a datos y/o software R4 = Interrupción de las funciones de la red (no disponibilidad de datos o servicios) R4a = incluyendo perdida o degradación de las comunicaciones R4b = incluyendo destrucción de equipos y/o datos R4c = incluyendo negación del servicio R5 = Acciones engañosas en la red (no saber quien)
  • 25. Information Security Risks  Physical Damage: Fire, water, power loss, vandalism  Human Error: Accidental or intentional action  Equipment malfunction: Failure of system  Inside and outside attacks: Hacking , cracking  Misuse of data:Sharing trade secrets  Loss od data: Intentional or unintentional loss  Application error: Computation errors, input errors
  • 26. Administración de Riesgos 2. Cómo escribir Riesgos? CCoonncceeppttoo uussaaddoo ppaarraa eexxpprreessaarr iinncceerrttiidduummbbrree ssoobbrree ""ccoonnsseeccuueenncciiaass yy//oo eevveennttooss qquuee ppooddrrííaann lllleeggaarr aa iimmppaaccttaarr eell EEvveennttoo SSiittuuaacciióónn qquuee ppooddrrííaa lllleeggaarr aa ooccuurrrriirr eenn uunn lluuggaarr ddeetteerrmmiinnaaddoo eenn uunn mmoommeennttoo ddaaddoo CCaauussaa CCaauussaa llooggrroo ddee llooss oobbjjeettiivvooss"" EEvveennttoo pprriimmaarriioo ffuunnddaammeennttoo uu oorrííggeenn ddee uunnaa ccoonnsseeccuueenncciiaa EEvveennttoo pprriimmaarriioo ffuunnddaammeennttoo uu oorrííggeenn ddee uunnaa ccoonnsseeccuueenncciiaa RRiieessggoo RRiieessggoo CCoonncceeppttoo uussaaddoo ppaarraa eexxpprreessaarr iinncceerrttiidduummbbrree ssoobbrree ""ccoonnsseeccuueenncciiaass yy//oo eevveennttooss qquuee ppooddrrííaann lllleeggaarr aa iimmppaaccttaarr eell llooggrroo ddee llooss oobbjjeettiivvooss"" CCoonnsseeccuueenncciiaa CCoonnsseeccuueenncciiaa RReessuullttaaddoo ddee uunn eevveennttoo oo ssiittuuaacciióónn eexxpprreessaaddoo RReessuullttaaddoo ddee uunn eevveennttoo oo ssiittuuaacciióónn eexxpprreessaaddoo ccuuaalliittaattiivvaa oo ccuuaannttiittaattiivvaammeennttee ccuuaalliittaattiivvaa oo ccuuaannttiittaattiivvaammeennttee EEvveennttoo SSiittuuaacciióónn qquuee ppooddrrííaa lllleeggaarr aa ooccuurrrriirr eenn uunn lluuggaarr ddeetteerrmmiinnaaddoo eenn uunn mmoommeennttoo ddaaddoo
  • 27. Administración de Riesgos 2. Cómo escribir Riesgos? CCoonncceeppttoo uussaaddoo ppaarraa eexxpprreessaarr iinncceerrttiidduummbbrree ssoobbrree ""ccoonnsseeccuueenncciiaass yy//oo eevveennttooss qquuee ppooddrrííaann lllleeggaarr aa iimmppaaccttaarr eell EEvveennttoo,, AAmmeennaazzaa CCaauussaa,, CCaauussaa,, llooggrroo ddee llooss oobbjjeettiivvooss"" EEvveennttoo pprriimmaarriioo oo SSiittuuaacciióónn EEvveennttoo pprriimmaarriioo oo SSiittuuaacciióónn RRiieessggoo RRiieessggoo CCoonncceeppttoo uussaaddoo ppaarraa eexxpprreessaarr iinncceerrttiidduummbbrree ssoobbrree ""ccoonnsseeccuueenncciiaass yy//oo eevveennttooss qquuee ppooddrrííaann lllleeggaarr aa iimmppaaccttaarr eell llooggrroo ddee llooss oobbjjeettiivvooss"" EEvveennttoo,, AAmmeennaazzaa CCoonnsseeccuueenncciiaa,, IImmppaaccttoo,, EExxppoossiicciióónn oo RReessuullttaaddoo CCoonnsseeccuueenncciiaa,, IImmppaaccttoo,, EExxppoossiicciióónn oo RReessuullttaaddoo ++
  • 28. Administración de Riesgos Seguridad en redes – Impactos Significativos  Violación de la privacidad  Demandas legales  Perdida de tecnología propietaria  Multas  Perdida de vidas humanas  Desconcierto en la organización  Perdida de confianza
  • 29. Administración de Riesgos Seguridad Informática - Amenazas  Naturales  Accidentales  Deliberadas
  • 30. Administración de Riesgos Seguridad Informática – Amenazas Naturales Origen Amenaza directa Impacto inmediato Terremotos, Interrupción de potencia, R4, R4a, R4b tormentas temperatura extrema debido eléctricas a daños en construcciones, Fenómenos Perturbaciones R4, R4a astrofísicos electromagnéticas Fenómenos Muerte de personal crítico R4, R4c biológicos
  • 31. Administración de Riesgos Seguridad Informática – Amenazas Accidentales Origen Amenaza directa Impacto inmediato Error del Usuario Error del Administrador Fallas de equipos Borrado de archivos, Formateo de drive, mal empleo de equipos, errores de entrada Configuración inapropiada de parámetros, borrado de información Problemas técnicos con servidores de archivos, servidores de impresión, dispositivos de comunicación, estaciones cliente, equipo de soporte (cintas de back-up, control de acceso, derrame de café) R3, R4 R1: R2, R3, R4, R5 R3, R4, R4b
  • 32. Administración de Riesgos Seguridad Informática – Involucrados •Amateurs •Hackers • Empleados maliciosos • Rateros •Crackers • Vándalos •Criminales •Espías (gobiernos foráneos) • Terroristas
  • 33. Administración de Riesgos Seguridad Informática – Vulnerabilidades Características o debilidades en el sistema de seguridad que pueden ser explotadas para causar daños o perdidas (facilitan la ocurrencia de una amenaza) • Interrupción: un activo se pierde, no está disponible, o no se puede utilizar • Intercepción: alguna parte (persona, programa o sistema de computo) no autorizada accede un activo • Modificación: una parte no autorizada accede y manipula indebidamente un activo • Fabricación: Fabricar e insertar objetos falsos en un sistema computacional
  • 34. Administración de Riesgos Seguridad Informática – Vulnerabilidades Interrupción (Negación del Servicio) Intercepción (Robo) Hardware Actos Involuntarios/Accidentales – Intencionales/Voluntarios que limitan la disponibilidad Software Datos Destrucción Agua, Fuego, Problemas de potencia, Alimentos, Ratones, Cenizas, Ataques físicos, Bombas Robo
  • 35. Administración de Riesgos Seguridad Informática – Vulnerabilidades Hardware Software Datos Interrupción (Borrado) Intercepción Modificación Borrado accidental o destrucción de programas Robo - Copia ilícita de programas Causar fallas o errores Salvar una copia mala de un programa destruyendo una buena, Programas modificados (cambio de bits, de instrucciones – bombas lógicas, efectos colaterales) Caballos de Troya, Virus, Puerta falsa, Fuga de Información
  • 36. Administración de Riesgos Seguridad Informática – Vulnerabilidades Hardware Software Datos Interrupción (Perdida) Intercepción Modificación Fabricación Robo Confidencialidad – líneas derivadas, recipientes de basura, soborno a empleados claves, inferencia, preguntando, compra Programas maliciosos – Técnica de salami, utilidades del sistema de archivos, facilidades de comunicación defectuosas Reprocesamiento de datos utilizados, adicionar registros en una base de datos
  • 37. Administración de Riesgos 3. Analizar Riesgos 3.1. Valorar Riesgo Inherente 3.2. Determinar Controles Existentes 3.3. Identificar Nivel de Exposición Valorar el posible daño que puede ser causado
  • 38. Administración de Riesgos Cómo valorar riesgo? Probabilidad x Impacto Frecuencia x Impacto $ Inherente Nivel de exposición Residual
  • 39. Administración de Riesgos Controles en Seguridad Controles Administrativos Politícas, Estándares, Procedimientos, Guías, Entrenamiento Controles Técnicos Acceso lógico, controles, encripción, dispositivos de seguridad, Identificación y autenticación Controles físicos Protección de instalaciones, Guardias, candados, Monitoreo, Controles ambientales
  • 40. Administración de Riesgos Controles en Seguridad Medidas protectoras – acciones, dispositivos, procedimientos o técnicas – que reducen una vulnerabilidad Encripción Conf. Integ. Disp. Interr. Interc. Mod. Fab. Administración de la Configuración (Control de Cambios a Programas) Políticas Controles de Hardware Controles Físicos (candados y guardas)
  • 41. Monitorea r y Revisar Monitorea r y Revisar Valorar prioridades de riesgo Riesgo aceptable? SI Aceptar Transferir Evitar total o parcialmente Reducir NO consecuencia Reducir probabilidad Considerar factibilidad, costos y beneficios, y niveles de riesgo Recomendar estrategias de tratamiento Seleccionar estrategia de tratamiento Preparar planes de tratamiento para reducir, transferir o evitar el riesgo, financiando cuando sea apropiado Transferir Evitar total o parcialmente Reducir consecuencia Reducir probabilidad NORiesgo residual aceptable? SI Retener VALORAR Y PRIORIZAR RIESGOS IDENTIFICAR OPCIONES DE TRATAMIENTO EVALUAR OPCIONES DE TRATAMIENTO PREPARAR PLANES DE TRATAMIENTO IMPLEMENTAR PLANES DE TRATAMIENTO Riesgo residual no aceptable Porción retenida Porción transferida Asegurar la efectividad costo/beneficio de los controles
  • 42. Administración de Riesgos Dónde invertir? Principio de la Adecuada Protección: Los ítems deben ser protegidos solo hasta que ellos pierden su valor y deben ser protegidos de manera consistente con su valor Hardware Software Datos Variables: Cantidad de involucrados Esfuerzo de Aseguramiento Valor del activo Duración del Activo Esfuerzo de detección de incidentes Impacto en los objetivos del negocio Efectividad de la medida Nivel de sofisticación Facilidad de uso
  • 43. Bibliografía  Security in Computing – Charles P. Pfleeger – Prentice Hall  Network Security - Analysis and Implementation - January 1996 - MG-1 - http://www.cse.dnd.ca - Government of Canadá, Communications Security Establishment (CSE)

Notas del editor

  1. Administración del riesgo es un imtegral
  2. Administración del riesgo es un imtegral
  3. Administración del riesgo es un imtegral
  4. When we look at information security, there are several types of risk a corporation needs to be aware of and address properly. The following items touch on the major categories Physical Damage: Fire, water, power loss, vandalism Human Error: Accidental or intentional action Equipment malfunction: Failure of system Inside and outside attacks: Hacking , cracking Misuse of data:Sharing trade secrets Loss od data: Intentional or unintentional loss Application error: Computation errors, input errors The threats need to be indentified, classified by category, and the actual magnitude of potential loss needs to be calculated. Real risk is hard to measure, but making priorities of the potential risks is attainable.
  5. The information owner is usually a senior executive within the management group of the company. The information owner has the final corporate resposibility of data protection and would be the one held liable for any negligence when it comes to protecting the company’s information assets. The person who hold this role is responsible for assigning a classification to the information and dictating how the information should be protected. Information owner should dictate who can access resources and how much capacity users can possess pertaining to those resources. The security administration’s job is to make sure this happens. Administrative, technical and physical controls should be implemented to achieve this management directives. Administrative controls include the development and publication of policies, standards, procedures, and guidelines, the screeining of personnel, security awareness training, the monitoring of system activities, and change control procedures. Technical controls consist of logical access control mechanisms, password and resource management , identification and authentication methods, security devices, and configuration of the network Physical controls entail controlling individual access into the facility and different departments, locking systems and removing unnecessary floppy or CD-ROM drives, protecting the perimeter of the facility and so on.