SlideShare una empresa de Scribd logo

Analisis de riego primera parte

Jesus Vilchez
Jesus Vilchez
1 de 38
Descargar para leer sin conexión
Datos del Profesor: Ing. Jesús Vílchez Sandoval CIP 129615 email:jvilchez@utp.edu.pe http://jesusvilchez.wordpress.com móvil: (51)99 407*1449 / (51)9 9368 0094 Coordinador de la Oficina de Calidad y Acreditación - FIEM
Ing. Jesús Vílchez Sandoval Sistemas de SEGURIDAD EN REDES Basado en la presentación del Mg. Jean del Carpio
Contenido Terminología - Seguridad de la Información Gestión de Riesgos Inventario de Activos Laboratorio © Copyright Ing. Jesús Vílchez, 2012 Derechos Reservados
Porque Seguridad de Información?
Terminología seguridad de la información Activo de la información, amenazas, vulnerabilidades, riesgo, exposición, salvaguarda, impacto.
Terminología Activo de Información Amenaza Vulnerabilidad Riesgo Exposición Salvaguarda Impacto
Activos de Información  Documentos: contratos, guías  Software: aplicativos y software de sistemas  Dispositivos físicos: PCs, medios removibles (usb, dvd, etc.)  Personas: personal  Imagen y reputación de la empresa: marca, logotipo, razón social.  Servicios: red comunicaciones, telefonia, internet ACTIVO DE INFORMACION: aquel bien o servicio tangible o intangible, que genera, procesa o almacena información al cual una organización directamente le atribuye un valor y por tanto requiere una adecuada protección y cuidado.
Documentos En Papel Activos de Información • Recibos, Facturas • Memorando, Contratos • Manuales, Reglamentos • etc. Electrónico • Correos • Archivos digitales, doc, pdf, ppt, etc.
Activos de Software Sistemas Activos de Información • Sistema Contable • Sistema de Gestión de Clientes • Sistema de Gestión de Recursos, etc Aplicaciones y Programas • Office • Acrobat Reader • Outlook
Activos de Físicos Procesamiento Activos de Información • • Comunicación • Medios de Almacenamiento • Otros
Servicios Terceros Procesamiento y Comunicaciones Activos de Información • • Servicios Generales • Otros Proveedores
Activo Fijo o Activo de Información? • ¿Debo considerar a la caja fuerte como un activo?
Activo de Información Clasificación Frecuencia Marcado Activo de Usuario Ubicación Información Custodio Valoración Propietario
Clasificación de Información Restringida Confidencial Interna Publica
Ubicación (Física o Lógica) Lugares donde se almacenan los Activos de Información más importantes: • Oficinas • Archivos • Centro de Cómputo • Bóvedas • Custodio de Información (Proveedor)
Propietario • Persona o entidad que tiene la responsabilidad gerencial aprobada de controlar la producción, desarrollo, mantenimiento, uso y seguridad de los activos. • El propietario de los activos debe ser responsable por definir apropiadamente la clasificación de seguridad y los derechos de acceso a los activos y establecer los sistemas de control. • El término propietario no significa que la persona es dueña del activo.
Propietario Ejemplos:  Activo de Información: Sistema Contabilidad  Propietario del Activo: Gerente de Contabilidad y Finanzas  Custodio de la Base de Datos: Gerencia de TI  Derecho de Propiedad del Activo: Empresa
Amenazas Potencial para causar un incidente indeseado que puede resultar en daño al sistema o a la empresa o a sus activos. Puede ser accidental o intencional Los activos están sujetos a muchos tipos de amenazas que explotan sus vulnerabilidades: • Desastres Naturales: terremoto, inundación, etc. • Humanas: errores de mantenimiento, huelga, errores de usuario, ataques hackers • Tecnológicas: caída de red, sobrecarga de trafico, falla de hardware
Que es Ingeniería Social? • Consiste en engañar a alguien para que entregue información o permita el acceso no autorizado o divulgación no autorizada, que usualmente no daría, a un Sistema de Información, Aplicativo o Recurso Informático. “El arte de engañar a las personas”
Vulnerabilidades • Una vulnerabilidad es una debilidad o ausencia de control en la seguridad de información de una organización • Por sí sola no causa daños • Si no es administrada, permitirá que una amenaza se concrete • Ejemplos: – Ausencia de personal clave – Cableado desprotegido – Archivadores sin llaves – Falta de conciencia de seguridad – Ausencia de sistema extintor
Gestión de riesgos
Definición del Riesgo Es definido como la “Probabilidad de que una Amenaza pueda explotar una Vulnerabilidad en particular” (Peltier 2001) Relación Causa – Efecto: Activo de Amenaza Vulnerabilidad Riesgo Información Causa Probabilidad Efecto Impacto
Determinación del Riesgo y sus Consecuencias
Riesgos en Documentos
Riesgos en Activos Físicos
CONSIDERACIONES » Las evaluaciones del riesgo deben ser realizadas periódicamente para incluir los cambios en los requerimientos del sistema y en la situación del riesgo, por ejemplo en los activos, amenazas, vulnerabilidades, impactos, valoración del riesgo y cuando ocurran cambios significativos » Estas evaluaciones del riesgo deben ser emprendidas de una forma metódica, capaz de producir resultados comparables y reproducibles. » La evaluación de la información del riesgo de seguridad debe tener un alcance claro y definido para que éste sea efectivo y debe incluir relaciones con las evaluaciones del riesgo en otras áreas, si es apropiado. » El alcance de la evaluación del riesgo puede ser para toda la organización, partes de ella, un sistema individual de información, componentes específicos del sistema o servicios donde esto puede ser utilizado, realista y provechoso.
OBJETIVOS » Identificar los procesos y sus activos de información que los soportan. » Determinar la amenazas y vulnerabilidades actuales existentes que afectan o pueden afectar a los activos de información identificados previamente. » Evaluar y determinar el nivel de riesgo efectivo o riesgo actual existente en la organización. » Establecer las acciones y controles requeridos para realizar un adecuado Tratamiento de los Riesgos altos o no tolerables previamente identificados, » Buscar la aprobación de la alta dirección para tratar los riesgos y lograr el nivel de riesgo residual deseado y aceptado por la organización.
Proceso de la Gestión de Riesgos La norma no exige una Metodología de Gestión de Riesgos específica. Determinar la Metodología de Gestión de Riesgos a utilizar en la organización. Utilizar una Metodología práctica y de fácil aplicación y entendimiento para los usuarios y personal involucrado. Basada en una norma o estándar internacional reconocido, Ejemplo: • Magerit • Octave • ISO 31000 • ISO 27005 • ASNZ 4360 • NIST 800 30. • RISK IT Alinear la Metodología de gestión de riesgos de Seguridad con otras metodologías de la empresa relacionadas a riesgo operativo y/o riesgo financiero, tecnológico, etc.
Etapas para la Gestión de Riesgos Análisis y Metodología Inventario de Tratamiento Evaluación de de Riesgos Activos de Riesgos Riesgos 1 2 4 3
Etapas para la Gestión de Riesgos
Inventario de Activos
Inventario de Activos  Relación de todos los Activos importantes.  Cada Activo debe tener un Propietario y Custodio (responsabilidades definidas)  Los activos se identifican, no se inventan. “La información debe protegerse cualquiera que sea la forma que tome o los medios por los que se comparta o almacene”. NTP ISO/IEC 17799:2007 No confundir con activos fijos
Valor de Activos ¿La organización ha identificado el valor de sus activos de información? • Determinar el valor de cada activo es el primer paso para una estrategia efectiva de seguridad ¿Es un componente vital del proceso de evaluación de riesgo? • Los activos de información no necesariamente incluyen todas aquellas cosas que normalmente tienen valor dentro de la organización. Ej.: caja fuerte • La Institución debe determinar cuáles son los activos de información que afectan la entrega de sus productos o servicios por causa de su ausencia o degradación.
Valor del Activo La mejor persona para determinar el valor del activo es quien usa la información, no quien la crea, transfiere, guarda o procesa.
? Preguntas
Laboratorio Inventario de Activos
Ejercicio Elaborar un Inventario de Activos
SEGURIDAD EN REDES FIN DE SESION

Recomendados

Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2macase
 
Plan de contingencia manuel mata
Plan de contingencia manuel mataPlan de contingencia manuel mata
Plan de contingencia manuel mataManuelMataArocha1
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónUniversidad de Los Andes (ULA)
 
Unidad 3: Riesgos de la información.
Unidad 3: Riesgos de la información.Unidad 3: Riesgos de la información.
Unidad 3: Riesgos de la información.dsiticansilleria
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaosbui
 
Unidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridadUnidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridaddsiticansilleria
 
Giseproi grupo de respuesta a incidentes
Giseproi grupo de respuesta a incidentesGiseproi grupo de respuesta a incidentes
Giseproi grupo de respuesta a incidentesgiseproi
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 

Recomendados

Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2macase
 
Plan de contingencia manuel mata
Plan de contingencia manuel mataPlan de contingencia manuel mata
Plan de contingencia manuel mataManuelMataArocha1
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónUniversidad de Los Andes (ULA)
 
Unidad 3: Riesgos de la información.
Unidad 3: Riesgos de la información.Unidad 3: Riesgos de la información.
Unidad 3: Riesgos de la información.dsiticansilleria
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaosbui
 
Unidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridadUnidad 2: Ámbitos de seguridad
Unidad 2: Ámbitos de seguridaddsiticansilleria
 
Giseproi grupo de respuesta a incidentes
Giseproi grupo de respuesta a incidentesGiseproi grupo de respuesta a incidentes
Giseproi grupo de respuesta a incidentesgiseproi
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de RiesgosConferencias FIST
 
"I+D+i: Seguridad adaptativa" - Etxahun Sánchez
"I+D+i: Seguridad adaptativa" - Etxahun Sánchez"I+D+i: Seguridad adaptativa" - Etxahun Sánchez
"I+D+i: Seguridad adaptativa" - Etxahun SánchezNextel S.A.
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacionmaxol03
 
Estrategia y elementos para la proteccion de datos
Estrategia y elementos para la proteccion de datosEstrategia y elementos para la proteccion de datos
Estrategia y elementos para la proteccion de datosIvan Oliva Mota
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgosUniversidad Tecnológica
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
Seguridad
Seguridad Seguridad
Seguridad Lisbey Urrea
 
Seguridad web -articulo completo-español
Seguridad web -articulo completo-españolSeguridad web -articulo completo-español
Seguridad web -articulo completo-españolisidro luna beltran
 
Contingencia Informatica
Contingencia InformaticaContingencia Informatica
Contingencia InformaticaFernando Alfonso Casas De la Torre
 
Elba reyes
Elba reyesElba reyes
Elba reyesastridferrebus
 
Fundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informáticaFundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informáticacarlos910042
 
FERREYROS S.A. EL RIESGO DE CRÉDITO Y SU ADMINISTRACIÓN
FERREYROS S.A. EL RIESGO DE CRÉDITO Y SU ADMINISTRACIÓNFERREYROS S.A. EL RIESGO DE CRÉDITO Y SU ADMINISTRACIÓN
FERREYROS S.A. EL RIESGO DE CRÉDITO Y SU ADMINISTRACIÓNKarina Padilla Tresierra
 
Riesgo crediticio cmac trujillo
Riesgo crediticio cmac trujillo Riesgo crediticio cmac trujillo
Riesgo crediticio cmac trujillo vanizh
 
12. tesis. capítulo 2
12. tesis. capítulo 212. tesis. capítulo 2
12. tesis. capítulo 2ucc
 
ANALISIS DE RIESGO CREDITICIO CAJA TRUJILLO
ANALISIS DE RIESGO CREDITICIO CAJA TRUJILLOANALISIS DE RIESGO CREDITICIO CAJA TRUJILLO
ANALISIS DE RIESGO CREDITICIO CAJA TRUJILLOalanart
 
Mejores prácticas para testing de apps móviles
Mejores prácticas para testing de apps móvilesMejores prácticas para testing de apps móviles
Mejores prácticas para testing de apps móvilesSoftware Guru
 
Sistema de inventario y servicios
Sistema de inventario y serviciosSistema de inventario y servicios
Sistema de inventario y serviciosWilkin Reyes
 
Taller casos de prueba
Taller casos de pruebaTaller casos de prueba
Taller casos de pruebaAndrés Grosso
 
Mejores prácticas para testing de aplicaciones
Mejores prácticas para testing de aplicacionesMejores prácticas para testing de aplicaciones
Mejores prácticas para testing de aplicacionesSoftware Guru
 
Ciclo de vida del servicio itil (operación del servicio-)
Ciclo de vida del servicio itil (operación del servicio-)Ciclo de vida del servicio itil (operación del servicio-)
Ciclo de vida del servicio itil (operación del servicio-)jr_palaciosg
 
Casos de pruebas
Casos de pruebasCasos de pruebas
Casos de pruebasHälly SäncBërn
 
Enfoque de auditoria basada en riesgo
Enfoque de auditoria basada en riesgoEnfoque de auditoria basada en riesgo
Enfoque de auditoria basada en riesgoAracely Marchena Larios, Contaduria Publica, Banca y Finanza
 
Tablas fórmulas y conceptos financieros
Tablas fórmulas y conceptos financierosTablas fórmulas y conceptos financieros
Tablas fórmulas y conceptos financierosSolfin
 

Más contenido relacionado

La actualidad más candente

"I+D+i: Seguridad adaptativa" - Etxahun Sánchez
"I+D+i: Seguridad adaptativa" - Etxahun Sánchez"I+D+i: Seguridad adaptativa" - Etxahun Sánchez
"I+D+i: Seguridad adaptativa" - Etxahun SánchezNextel S.A.
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacionmaxol03
 
Estrategia y elementos para la proteccion de datos
Estrategia y elementos para la proteccion de datosEstrategia y elementos para la proteccion de datos
Estrategia y elementos para la proteccion de datosIvan Oliva Mota
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
Seguridad web -articulo completo-español
Seguridad web -articulo completo-españolSeguridad web -articulo completo-español
Seguridad web -articulo completo-españolisidro luna beltran
 
Fundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informáticaFundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informáticacarlos910042
 

La actualidad más candente (10)

"I+D+i: Seguridad adaptativa" - Etxahun Sánchez
"I+D+i: Seguridad adaptativa" - Etxahun Sánchez"I+D+i: Seguridad adaptativa" - Etxahun Sánchez
"I+D+i: Seguridad adaptativa" - Etxahun Sánchez
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacion
 
Estrategia y elementos para la proteccion de datos
Estrategia y elementos para la proteccion de datosEstrategia y elementos para la proteccion de datos
Estrategia y elementos para la proteccion de datos
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgos
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
 
Seguridad
Seguridad Seguridad
Seguridad
 
Seguridad web -articulo completo-español
Seguridad web -articulo completo-españolSeguridad web -articulo completo-español
Seguridad web -articulo completo-español
 
Contingencia Informatica
Contingencia InformaticaContingencia Informatica
Contingencia Informatica
 
Elba reyes
Elba reyesElba reyes
Elba reyes
 
Fundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informáticaFundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informática
 

Destacado

FERREYROS S.A. EL RIESGO DE CRÉDITO Y SU ADMINISTRACIÓN
FERREYROS S.A. EL RIESGO DE CRÉDITO Y SU ADMINISTRACIÓNFERREYROS S.A. EL RIESGO DE CRÉDITO Y SU ADMINISTRACIÓN
FERREYROS S.A. EL RIESGO DE CRÉDITO Y SU ADMINISTRACIÓNKarina Padilla Tresierra
 
Riesgo crediticio cmac trujillo
Riesgo crediticio cmac trujillo Riesgo crediticio cmac trujillo
Riesgo crediticio cmac trujillo vanizh
 
12. tesis. capítulo 2
12. tesis. capítulo 212. tesis. capítulo 2
12. tesis. capítulo 2ucc
 
ANALISIS DE RIESGO CREDITICIO CAJA TRUJILLO
ANALISIS DE RIESGO CREDITICIO CAJA TRUJILLOANALISIS DE RIESGO CREDITICIO CAJA TRUJILLO
ANALISIS DE RIESGO CREDITICIO CAJA TRUJILLOalanart
 
Mejores prácticas para testing de apps móviles
Mejores prácticas para testing de apps móvilesMejores prácticas para testing de apps móviles
Mejores prácticas para testing de apps móvilesSoftware Guru
 
Sistema de inventario y servicios
Sistema de inventario y serviciosSistema de inventario y servicios
Sistema de inventario y serviciosWilkin Reyes
 
Taller casos de prueba
Taller casos de pruebaTaller casos de prueba
Taller casos de pruebaAndrés Grosso
 
Mejores prácticas para testing de aplicaciones
Mejores prácticas para testing de aplicacionesMejores prácticas para testing de aplicaciones
Mejores prácticas para testing de aplicacionesSoftware Guru
 
Ciclo de vida del servicio itil (operación del servicio-)
Ciclo de vida del servicio itil (operación del servicio-)Ciclo de vida del servicio itil (operación del servicio-)
Ciclo de vida del servicio itil (operación del servicio-)jr_palaciosg
 
Tablas fórmulas y conceptos financieros
Tablas fórmulas y conceptos financierosTablas fórmulas y conceptos financieros
Tablas fórmulas y conceptos financierosSolfin
 

Destacado (12)

FERREYROS S.A. EL RIESGO DE CRÉDITO Y SU ADMINISTRACIÓN
FERREYROS S.A. EL RIESGO DE CRÉDITO Y SU ADMINISTRACIÓNFERREYROS S.A. EL RIESGO DE CRÉDITO Y SU ADMINISTRACIÓN
FERREYROS S.A. EL RIESGO DE CRÉDITO Y SU ADMINISTRACIÓN
 
Riesgo crediticio cmac trujillo
Riesgo crediticio cmac trujillo Riesgo crediticio cmac trujillo
Riesgo crediticio cmac trujillo
 
12. tesis. capítulo 2
12. tesis. capítulo 212. tesis. capítulo 2
12. tesis. capítulo 2
 
ANALISIS DE RIESGO CREDITICIO CAJA TRUJILLO
ANALISIS DE RIESGO CREDITICIO CAJA TRUJILLOANALISIS DE RIESGO CREDITICIO CAJA TRUJILLO
ANALISIS DE RIESGO CREDITICIO CAJA TRUJILLO
 
Mejores prácticas para testing de apps móviles
Mejores prácticas para testing de apps móvilesMejores prácticas para testing de apps móviles
Mejores prácticas para testing de apps móviles
 
Sistema de inventario y servicios
Sistema de inventario y serviciosSistema de inventario y servicios
Sistema de inventario y servicios
 
Taller casos de prueba
Taller casos de pruebaTaller casos de prueba
Taller casos de prueba
 
Mejores prácticas para testing de aplicaciones
Mejores prácticas para testing de aplicacionesMejores prácticas para testing de aplicaciones
Mejores prácticas para testing de aplicaciones
 
Ciclo de vida del servicio itil (operación del servicio-)
Ciclo de vida del servicio itil (operación del servicio-)Ciclo de vida del servicio itil (operación del servicio-)
Ciclo de vida del servicio itil (operación del servicio-)
 
Casos de pruebas
Casos de pruebasCasos de pruebas
Casos de pruebas
 
Enfoque de auditoria basada en riesgo
Enfoque de auditoria basada en riesgoEnfoque de auditoria basada en riesgo
Enfoque de auditoria basada en riesgo
 
Tablas fórmulas y conceptos financieros
Tablas fórmulas y conceptos financierosTablas fórmulas y conceptos financieros
Tablas fórmulas y conceptos financieros
 

Similar a Analisis de riego primera parte

Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacionhvillas
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002EXIN
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generalesdsiticansilleria
 
PRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptxPRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptxPedroMarquez78
 
Seguridad Auditoria de Sistemas
Seguridad Auditoria de SistemasSeguridad Auditoria de Sistemas
Seguridad Auditoria de Sistemaspeponlondon
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...Manuel Santander
 
Analisis gestion de riesgos
Analisis gestion de riesgosAnalisis gestion de riesgos
Analisis gestion de riesgosmendozanet
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgosUPTM
 

Similar a Analisis de riego primera parte (20)

Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacion
 
información Segura
información Segurainformación Segura
información Segura
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
 
Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002Gestión de la Seguridad de la Información con ISO27002
Gestión de la Seguridad de la Información con ISO27002
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
 
PRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptxPRESENTACIÓN ISO 27000.pptx
PRESENTACIÓN ISO 27000.pptx
 
Seguridad Auditoria de Sistemas
Seguridad Auditoria de SistemasSeguridad Auditoria de Sistemas
Seguridad Auditoria de Sistemas
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informático
 
Administracion de riesgos
Administracion de riesgosAdministracion de riesgos
Administracion de riesgos
 
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
Acciones Empresariales En La PrevencióN De Criminalidad Virtual Para Mitigar ...
 
Analisis gestion de riesgos
Analisis gestion de riesgosAnalisis gestion de riesgos
Analisis gestion de riesgos
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informático
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgos
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10
 
Seguridad
SeguridadSeguridad
Seguridad
 
AUDITORIA.ppt
AUDITORIA.pptAUDITORIA.ppt
AUDITORIA.ppt
 
Seguridad
SeguridadSeguridad
Seguridad
 

Más de Jesus Vilchez

Programación en OTcl
Programación en OTclProgramación en OTcl
Programación en OTclJesus Vilchez
 
Herramientas de control y seguimiento
Herramientas de control y seguimientoHerramientas de control y seguimiento
Herramientas de control y seguimientoJesus Vilchez
 
Ataques en redes lan
Ataques en redes lanAtaques en redes lan
Ataques en redes lanJesus Vilchez
 
Ataques y vulnerabilidades
Ataques y vulnerabilidadesAtaques y vulnerabilidades
Ataques y vulnerabilidadesJesus Vilchez
 
Analisis de riego segunda parte
Analisis de riego segunda parteAnalisis de riego segunda parte
Analisis de riego segunda parteJesus Vilchez
 
Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Jesus Vilchez
 
I.1 conceptos_de_seguridad
I.1 conceptos_de_seguridadI.1 conceptos_de_seguridad
I.1 conceptos_de_seguridadJesus Vilchez
 

Más de Jesus Vilchez (7)

Programación en OTcl
Programación en OTclProgramación en OTcl
Programación en OTcl
 
Herramientas de control y seguimiento
Herramientas de control y seguimientoHerramientas de control y seguimiento
Herramientas de control y seguimiento
 
Ataques en redes lan
Ataques en redes lanAtaques en redes lan
Ataques en redes lan
 
Ataques y vulnerabilidades
Ataques y vulnerabilidadesAtaques y vulnerabilidades
Ataques y vulnerabilidades
 
Analisis de riego segunda parte
Analisis de riego segunda parteAnalisis de riego segunda parte
Analisis de riego segunda parte
 
Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)Unidad ii sesion 01 (politicas de seguridad)
Unidad ii sesion 01 (politicas de seguridad)
 
I.1 conceptos_de_seguridad
I.1 conceptos_de_seguridadI.1 conceptos_de_seguridad
I.1 conceptos_de_seguridad
 

Analisis de riego primera parte

  • 1. Datos del Profesor: Ing. Jesús Vílchez Sandoval CIP 129615 email:jvilchez@utp.edu.pe http://jesusvilchez.wordpress.com móvil: (51)99 407*1449 / (51)9 9368 0094 Coordinador de la Oficina de Calidad y Acreditación - FIEM
  • 2. Ing. Jesús Vílchez Sandoval Sistemas de SEGURIDAD EN REDES Basado en la presentación del Mg. Jean del Carpio
  • 3. Contenido Terminología - Seguridad de la Información Gestión de Riesgos Inventario de Activos Laboratorio © Copyright Ing. Jesús Vílchez, 2012 Derechos Reservados
  • 4. Porque Seguridad de Información?
  • 5. Terminología seguridad de la información Activo de la información, amenazas, vulnerabilidades, riesgo, exposición, salvaguarda, impacto.
  • 6. Terminología Activo de Información Amenaza Vulnerabilidad Riesgo Exposición Salvaguarda Impacto
  • 7. Activos de Información  Documentos: contratos, guías  Software: aplicativos y software de sistemas  Dispositivos físicos: PCs, medios removibles (usb, dvd, etc.)  Personas: personal  Imagen y reputación de la empresa: marca, logotipo, razón social.  Servicios: red comunicaciones, telefonia, internet ACTIVO DE INFORMACION: aquel bien o servicio tangible o intangible, que genera, procesa o almacena información al cual una organización directamente le atribuye un valor y por tanto requiere una adecuada protección y cuidado.
  • 8. Documentos En Papel Activos de Información • Recibos, Facturas • Memorando, Contratos • Manuales, Reglamentos • etc. Electrónico • Correos • Archivos digitales, doc, pdf, ppt, etc.
  • 9. Activos de Software Sistemas Activos de Información • Sistema Contable • Sistema de Gestión de Clientes • Sistema de Gestión de Recursos, etc Aplicaciones y Programas • Office • Acrobat Reader • Outlook
  • 10. Activos de Físicos Procesamiento Activos de Información • • Comunicación • Medios de Almacenamiento • Otros
  • 11. Servicios Terceros Procesamiento y Comunicaciones Activos de Información • • Servicios Generales • Otros Proveedores
  • 12. Activo Fijo o Activo de Información? • ¿Debo considerar a la caja fuerte como un activo?
  • 13. Activo de Información Clasificación Frecuencia Marcado Activo de Usuario Ubicación Información Custodio Valoración Propietario
  • 14. Clasificación de Información Restringida Confidencial Interna Publica
  • 15. Ubicación (Física o Lógica) Lugares donde se almacenan los Activos de Información más importantes: • Oficinas • Archivos • Centro de Cómputo • Bóvedas • Custodio de Información (Proveedor)
  • 16. Propietario • Persona o entidad que tiene la responsabilidad gerencial aprobada de controlar la producción, desarrollo, mantenimiento, uso y seguridad de los activos. • El propietario de los activos debe ser responsable por definir apropiadamente la clasificación de seguridad y los derechos de acceso a los activos y establecer los sistemas de control. • El término propietario no significa que la persona es dueña del activo.
  • 17. Propietario Ejemplos:  Activo de Información: Sistema Contabilidad  Propietario del Activo: Gerente de Contabilidad y Finanzas  Custodio de la Base de Datos: Gerencia de TI  Derecho de Propiedad del Activo: Empresa
  • 18. Amenazas Potencial para causar un incidente indeseado que puede resultar en daño al sistema o a la empresa o a sus activos. Puede ser accidental o intencional Los activos están sujetos a muchos tipos de amenazas que explotan sus vulnerabilidades: • Desastres Naturales: terremoto, inundación, etc. • Humanas: errores de mantenimiento, huelga, errores de usuario, ataques hackers • Tecnológicas: caída de red, sobrecarga de trafico, falla de hardware
  • 19. Que es Ingeniería Social? • Consiste en engañar a alguien para que entregue información o permita el acceso no autorizado o divulgación no autorizada, que usualmente no daría, a un Sistema de Información, Aplicativo o Recurso Informático. “El arte de engañar a las personas”
  • 20. Vulnerabilidades • Una vulnerabilidad es una debilidad o ausencia de control en la seguridad de información de una organización • Por sí sola no causa daños • Si no es administrada, permitirá que una amenaza se concrete • Ejemplos: – Ausencia de personal clave – Cableado desprotegido – Archivadores sin llaves – Falta de conciencia de seguridad – Ausencia de sistema extintor
  • 22. Definición del Riesgo Es definido como la “Probabilidad de que una Amenaza pueda explotar una Vulnerabilidad en particular” (Peltier 2001) Relación Causa – Efecto: Activo de Amenaza Vulnerabilidad Riesgo Información Causa Probabilidad Efecto Impacto
  • 23. Determinación del Riesgo y sus Consecuencias
  • 25. Riesgos en Activos Físicos
  • 26. CONSIDERACIONES » Las evaluaciones del riesgo deben ser realizadas periódicamente para incluir los cambios en los requerimientos del sistema y en la situación del riesgo, por ejemplo en los activos, amenazas, vulnerabilidades, impactos, valoración del riesgo y cuando ocurran cambios significativos » Estas evaluaciones del riesgo deben ser emprendidas de una forma metódica, capaz de producir resultados comparables y reproducibles. » La evaluación de la información del riesgo de seguridad debe tener un alcance claro y definido para que éste sea efectivo y debe incluir relaciones con las evaluaciones del riesgo en otras áreas, si es apropiado. » El alcance de la evaluación del riesgo puede ser para toda la organización, partes de ella, un sistema individual de información, componentes específicos del sistema o servicios donde esto puede ser utilizado, realista y provechoso.
  • 27. OBJETIVOS » Identificar los procesos y sus activos de información que los soportan. » Determinar la amenazas y vulnerabilidades actuales existentes que afectan o pueden afectar a los activos de información identificados previamente. » Evaluar y determinar el nivel de riesgo efectivo o riesgo actual existente en la organización. » Establecer las acciones y controles requeridos para realizar un adecuado Tratamiento de los Riesgos altos o no tolerables previamente identificados, » Buscar la aprobación de la alta dirección para tratar los riesgos y lograr el nivel de riesgo residual deseado y aceptado por la organización.
  • 28. Proceso de la Gestión de Riesgos La norma no exige una Metodología de Gestión de Riesgos específica. Determinar la Metodología de Gestión de Riesgos a utilizar en la organización. Utilizar una Metodología práctica y de fácil aplicación y entendimiento para los usuarios y personal involucrado. Basada en una norma o estándar internacional reconocido, Ejemplo: • Magerit • Octave • ISO 31000 • ISO 27005 • ASNZ 4360 • NIST 800 30. • RISK IT Alinear la Metodología de gestión de riesgos de Seguridad con otras metodologías de la empresa relacionadas a riesgo operativo y/o riesgo financiero, tecnológico, etc.
  • 29. Etapas para la Gestión de Riesgos Análisis y Metodología Inventario de Tratamiento Evaluación de de Riesgos Activos de Riesgos Riesgos 1 2 4 3
  • 30. Etapas para la Gestión de Riesgos
  • 32. Inventario de Activos  Relación de todos los Activos importantes.  Cada Activo debe tener un Propietario y Custodio (responsabilidades definidas)  Los activos se identifican, no se inventan. “La información debe protegerse cualquiera que sea la forma que tome o los medios por los que se comparta o almacene”. NTP ISO/IEC 17799:2007 No confundir con activos fijos
  • 33. Valor de Activos ¿La organización ha identificado el valor de sus activos de información? • Determinar el valor de cada activo es el primer paso para una estrategia efectiva de seguridad ¿Es un componente vital del proceso de evaluación de riesgo? • Los activos de información no necesariamente incluyen todas aquellas cosas que normalmente tienen valor dentro de la organización. Ej.: caja fuerte • La Institución debe determinar cuáles son los activos de información que afectan la entrega de sus productos o servicios por causa de su ausencia o degradación.
  • 34. Valor del Activo La mejor persona para determinar el valor del activo es quien usa la información, no quien la crea, transfiere, guarda o procesa.
  • 35. ? Preguntas
  • 36. Laboratorio Inventario de Activos