SlideShare una empresa de Scribd logo

Auditoría Riesgos Informáticos

Descargar como PPTX, PDF
S
simondavila

Este documento trata sobre la gestión de riesgos en sistemas de información. Explica conceptos clave como vulnerabilidades, amenazas, riesgos, probabilidad de ocurrencia, impacto y medidas para controlar riesgos. También describe ejemplos comunes de vulnerabilidades, amenazas y riesgos en sistemas informáticos, así como controles para prevenir, detectar y mitigar riesgos.

1 de 47
AUDITORIA INFORMATICA Amenazas Vulnerabilidades Riesgos
GESTION DE RIESGOS EN INFORMATICA En los sistemas informáticos se presentan: Vulnerabilidades Amenazas Que Atentan contra La INTEGRIDAD La CONFIDENCIALIDAD La DISPONIBILIDAD Riesgos
GESTION DE RIESGOS Debilidades QUE ES UNA VULNERABILIDAD? Fallas Presentes en los sistemas informáticos
ALGUNAS VULNERABILIDADES EN INFORMÁTICA.  Mala ubicación del centro de computo.  Software mal configurado.
ALGUNAS VULNERABILIDADES EN INFORMÁTICA.  Software desactualizado.  Falta de Hardware o hardware obsoleto.
ALGUNAS VULNERABILIDADES EN INFORMÁTICA.  Ausencia de copias de seguridad o copias de seguridad incompletas.  Ausencia de seguridad en archivos digitales o archivos físicos confidenciales.
ALGUNAS VULNERABILIDADES EN INFORMÁTICA.  Cuentas de usuario mal configuradas.  Desconocimiento y/o falta de socialización de normas o políticas a los usuarios por los responsables de informática.
ALGUNAS VULNERABILIDADES EN INFORMÁTICA.  Dependencia exclusiva de un proveedor de servicio técnico externo.  Ausencia de documentación de la operación de las aplicaciones.
 Pantalla en un sistema de información sin bloqueo por el usuario o sin protector de pantalla.  Centro de computo sin UPS
GESTION DE RIESGOS Acciones dañinas QUE SON LAS AMENAZAS? Acciones con consecuencias negativas A los sistemas informáticos
ALGUNAS AMENAZAS EN INFORMÁTICA Se puede Contraer virus.  Se pueden Dañar equipos de computo  Se puede acceder sin autorización a los sistemas de información.  Se pueden presentar inundaciones.  Se pueden presentar interrupciones en el servicio.  Pueden Fallar los equipos de computo.  Se pueden presentar desastres naturales.  Se puede parar la empresa 
RIESGOS RIESGO Probabilidad de que Una amenaza se materialice utilizando una vulnerabilidad, generando un impacto con perdidas o daños.
RIESGOS Algunos ejemplos de riesgos.  Perdida de datos  Información errónea  Daños en hardware  Perdidas económicas  Perdida de credibilidad.  Caída de la Red.  Servidor fuera de servicio
RIESGOS Destrucción de información confidencial.  Fuga de información.  Falta de disponibilidad de aplicaciones criticas.  Incendios en el centro de computo.  Perdida de integridad de los datos. 
PROBABILIDAD Probabilidad: de ocurrencia de la amenaza, puede ser cualitativa o cuantitativa
IMPACTO Impacto: consecuencias de la ocurrencia de la amenaza, pueden ser Económicas, no Económicas
VALORACIÓN DEL RIESGO Proceso mediante el cual se establece la probabilidad de que ocurran daños o pérdidas materiales y la cuantificación de los mismos. La valoración del riesgo, es el producto de la Probabilidad de Amenaza por el impacto del daño, está agrupado en tres rangos.  Bajo Riesgo = 1 – 6 (Verde)  Medio Riesgo = 8 – 9 (amarillo)  Alto Riesgo = 12 – 16 (rojo)
MATRIZ VALORACIÓN DEL RIESGOS (AMENAZA VS IMPACTO)
GESTION DE RIESGOS Los objetivos de la gestión de riesgos son:  Identificar  Controlar  Reducir o eliminar las fuentes de riesgo antes de que empiecen a afectar al cumplimiento de los objetivos. (contramedidas)
ADMINISTRACIÓN DE RIESGOS No existe una practica para reducir el riesgo a cero (0), solo la administración debe determinar minimizar la ocurrencia del riesgo, utilizando para ello el CONTROL interno.
MEDIDAS ANTE LA PRESENCIA DE RIESGOS Son los medios utilizados para eliminar o reducir un riesgo. Se clasifican en:  MEDIDAS DE SEGURIDAD ACTIVA.  MEDIDAS DE SEGURIDAD PASIVA Las medidas de Seguridad Activa son utilizadas para reducir o minimizar la ocurrencia del riesgo y se clasifican en: Medidas Preventivas (antes del incidente)  Medidas Detectivas (durante el incidente) 
MEDIDAS ANTE LA PRESENCIA DE RIESGOS  medidas preventivas: La autenticación de usuarios (contraseñas)  El control de acceso a los datos (permisos o privilegios)  La encriptación de datos sensibles o confidenciales.  La instalación y correcta configuración de un buen antivirus.  La socialización a los usuarios de normas y politicas en informatica. 
MEDIDAS ANTE LA PRESENCIA DE RIESGOS      La actualización del software (sistemas operativos, aplicaciones, programas) La instalación de hardware redundante en los servidores (discos espejos, fuentes de energía, tarjetas de red. La instalación de una UPS. La validación de los datos. La implementación de sistemas de acceso al CPD.
MEDIDAS ANTE LA PRESENCIA DE RIESGOS  Medidas Detectivas: Sistemas de detección de intrusos  Procedimientos para análisis de los log  Antivirus  Antispyware.  Firewalls o cortafuegos 
MEDIDAS ANTE LA PRESENCIA DE RIESGOS  MEDIDAS DE SEGURIDAD PASIVAS. Son medidas utilizadas para minimizar el impacto causado cuando se presenta el incidente. También se conocen como medidas correctivas. (se aplican después de ocurrido el incidente). La recuperación de datos usando una copia de seguridad.  Ejecución de un plan de contingencias. 
CICLO ADMINISTRACIÓN DE RIESGOS LA ADMINISTRACIÓN DE RIESGOS EMPRESARIALES REQUIERE: 2a 1 IDENTIFICAR VAR DEFINIR IMPACTO 2 PONDERAR CADA RIESGO 2b TOMAR DECISION RIESGO RESIDUAL 4 PROBABILIDA DE OCURRENCIA EVALUAR EFECTIVIDA CONTROLES 3
RIESGO RESIDUAL Es un suceso o circunstancia indeterminada que permanece después de haber ejecutado todos los controles a los riesgos
ADMINISTRACIÓN DEL RIESGO Riesgo Total y Riesgo Residual Riesgo Total = Probabilidad de ocurrencia * Impacto promedio Probabil Grado de Impacto (millones$) Efectivid Riesgo Riesgo total ad del residual AMENAZA idad Servidores Terminales Datos Instalaciones Personal Incendio 1% 20 10 16 124 82 2,52 control 100% Inundacion 0,50% 20 20 16 44 2 0,51 90% 0,05 Accesos no autorizados 20% 2 0 24 0 0 5,20 50% 2,60 Fallas 25% 1 1 4 0 0 1,50 50% 0,75 Virus 30% 4 6 2 0 0 3,60 80% 0,72
DECISIÓN DEL RIESGO RESIDUAL • • • •  T erminar R educir A ceptar P asar
DECISIÓN DEL RIESGO RESIDUAL • Terminar: abandonar la actividad por excesivamente riesgosa • Reducir: fortalecer controles o implementar nuevos controles • Aceptar: tomar el riesgo • Pasar: contratar, por ejemplo, una póliza de seguro (ejemplo póliza de seguros para amparar ataques cibernéticos)
SEGURIDAD FISICA
EN QUE CONSISTE…. La Seguridad Física consiste en la protección del entorno Informático (hardware y edificios de computo) mediante la aplicación de barreras físicas y procedimientos de control, ante posibles amenazas físicas
VULNERABILIDADES FISICAS  Es la situación creada por controles mal diseñados o por la falta de uno o varios controles y que pueden crear una amenaza que pueden afectar al entorno informático. Ejemplos: falta de controles de acceso lógico, falta de controles electricos, inexistencia de un control de soportes magnéticos, falta de cifrado en las comunicaciones, etc
AMENAZAS PARA LA SEG FISICA  AMENAZA: Personas o elementos vistos como posible fuente de peligro o catástrofe. Los mecanismos de seguridad física deben resguardar de amenazas producidas tanto por el hombre como por la naturaleza los recursos informáticos de la empresa.
AMENAZAS FÍSICAS Ejemplo de amenazas físicas  inundaciones  incendios  Terremotos  Fugas de agua
AMENAZAS POR PERSONAS Sabotaje internos o externos (conductas dirigidas a causar daños al hardware o software: accesos no autorizados, daño o modificacion sin autorizacion al software, Negligencia en aplicación de políticas de seguridad  Errores involuntarios o voluntarios en el uso de la tecnología informática.  Ingeniería Social 
RIESGO  RIESGO: la probabilidad de que una amenaza llegue a suceder debido a una vulnerabilidad con consecuencias negativas.
CONTROLES PARA SEG FISICA             Instalación de Alarmas. Extintores manuales de incendios. Sensores de temperatura. Detectores de humo. Ubicación estratégica del centro de cómputos. Paredes, pisos y cielorrasos a prueba de incendios Protectores de voltaje Interruptor de energía de emergencia No comer, beber, fumar dentro del centro de cómputos Humedad y Temperaturas adecuadas Planes documentados y probados de evacuación de emergencia. Adquisición de UPS.
CONTROLES DE ACCESO FÍSICO          Cerraduras con combinación. Cerraduras electrónicas: utiliza llave, ficha o tarjeta magnética. Cerraduras biométricas. Bitácora o registro manual: libro de visitantes que incluya nombre, motivo de la visita, fecha, hora y firma Cámara de video. Guardias de Seguridad Acceso controlado de visitantes: ej. acompañados siempre de un empleado responsable. Sistema de alarma. 2 puertas de acceso ubicadas en sentidos contrarios
SEGURIDAD LOGICA
EN QUE CONSISTE La seguridad lógica, se refiere a la protección del uso del software (datos, programas y aplicaciones), con el fin de mantener la integridad, la confidencialidad y la disponibilidad de la información.
OBJETIVOS Preservar los Activos de Información de la empresa para que sean siempre utilizados de forma autorizada. Evitar acciones que puedan provocar su alteración, denegación, borrado o divulgación no autorizados, de forma accidental o intencionada
SEGURIDAD LÓGICA La seguridad lógica abarca las siguientes áreas:  Aplicaciones Informáticas.  Claves de acceso.  Software de control de acceso.  Encriptamiento.
AUTENTICACIÓN DE USUARIOS    Objetivo Asegurar que un usuario es quien dice ser, cuando accede al Sistema. En general, el proceso de autenticación de un usuario está basado en: algo que sabe (contraseña); algo que tiene (tarjeta, dispositivo, etc.); algo que es (características biométricas). La utilización de sólo uno de los métodos anteriores se denomina Autenticación Simple.
CARACTERISTICAS DE LAS CONTRASEÑAS    Para la protección de los Activos de Información de la empresa y la protección del propio usuario, la contraseña: Tiene que ser secreta y no compartida con nadie, No puede ser visualizada en pantalla mientras se teclea, No puede ser almacenada en claro (sin cifrar).
CARACTERISTICAS DE LAS CONTRASEÑAS tener una longitud mínima de 6 caracteres; o tener al menos un carácter numérico y uno alfabético;  no empezar ni terminar con un número;  no tener mas de dos caracteres iguales consecutivos.  ser cambiada, al menos, cada 60 días para usuarios generales y cada 30 días para usuarios que tengan algún tipo de privilegio o autoridad. Tiene que haber instalado un control que informe a los usuarios cuando su contraseña tiene que ser cambiada; 
CARACTERISTICAS DE LAS CONTRASEÑAS   No debe ser reutilizada hasta después de, al menos, 12 cambios; no contener el identificador de usuario, como parte de la contraseña.

Recomendados

Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaCarolina Cols
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informáticajemarinoi
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticayamyortiz17
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICAWalter Edison Alanya Flores
 
Ciberseguridad
CiberseguridadCiberseguridad
CiberseguridadMarlyns01
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power pointlinda gonzalez
 
Amenaza seguridad informatica
Amenaza seguridad informaticaAmenaza seguridad informatica
Amenaza seguridad informaticaninguna
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaIESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 

Recomendados

Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaCarolina Cols
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informáticajemarinoi
 
seguridad informatica
seguridad informaticaseguridad informatica
seguridad informaticayamyortiz17
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICAWalter Edison Alanya Flores
 
Ciberseguridad
CiberseguridadCiberseguridad
CiberseguridadMarlyns01
 
La seguridad informática en power point
La seguridad informática en power pointLa seguridad informática en power point
La seguridad informática en power pointlinda gonzalez
 
Amenaza seguridad informatica
Amenaza seguridad informaticaAmenaza seguridad informatica
Amenaza seguridad informaticaninguna
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaIESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
Riesgos y amenazas de la informacion
Riesgos y amenazas de la informacionRiesgos y amenazas de la informacion
Riesgos y amenazas de la informacionJean Carlos Leon Vega
 
Ppt seguridad informática
Ppt seguridad informáticaPpt seguridad informática
Ppt seguridad informáticakaribdis05
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
PowerPoint Seguridad Informática
PowerPoint Seguridad InformáticaPowerPoint Seguridad Informática
PowerPoint Seguridad Informáticab1dmiriammunozelespinillo
 
Seguridad Informática - Ensayo
Seguridad Informática - Ensayo Seguridad Informática - Ensayo
Seguridad Informática - Ensayoronaldmartinez11
 
Power Point de la seguridad informática
Power Point de la seguridad informáticaPower Point de la seguridad informática
Power Point de la seguridad informáticavektormrtnz
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informaticarayudi
 
Test básico de seguridad informática
Test básico de seguridad informáticaTest básico de seguridad informática
Test básico de seguridad informáticasylvia1999
 
PROBLEMAS Y SOLUCIONES DE SEGURIDAD INFORMATICA
PROBLEMAS Y SOLUCIONES DE SEGURIDAD INFORMATICAPROBLEMAS Y SOLUCIONES DE SEGURIDAD INFORMATICA
PROBLEMAS Y SOLUCIONES DE SEGURIDAD INFORMATICATIC1B
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informaticaGemiunivo
 
Diapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaDiapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaPedro Cobarrubias
 
Riesgos informáticos
Riesgos informáticosRiesgos informáticos
Riesgos informáticosLorena Molina
 
Diapositivas virus informaticos
Diapositivas virus informaticosDiapositivas virus informaticos
Diapositivas virus informaticosdiana ballen
 
Seguridad y Riesgos de la computadora
Seguridad y Riesgos de la computadoraSeguridad y Riesgos de la computadora
Seguridad y Riesgos de la computadoraFabian Sosa
 
Seguridad en la nube exposicion completa
Seguridad en la nube exposicion completaSeguridad en la nube exposicion completa
Seguridad en la nube exposicion completaMaxwell Kenshin
 
Seguridad informatica slideshare
Seguridad informatica slideshareSeguridad informatica slideshare
Seguridad informatica slideshareb1cceliagonzalez
 
20161021 JS Cybersecurity Service Proposal
20161021 JS Cybersecurity Service Proposal20161021 JS Cybersecurity Service Proposal
20161021 JS Cybersecurity Service ProposalCarl Bradley Pate
 
Conocimientos básicos de la seguridad informática
Conocimientos básicos de la seguridad informáticaConocimientos básicos de la seguridad informática
Conocimientos básicos de la seguridad informáticaLORENAJUYAR
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la InformacionAngel Ricardo Marchan Collazos
 
Diapositivas virus informatico
Diapositivas virus informaticoDiapositivas virus informatico
Diapositivas virus informaticoheiidy rodriguez
 
Analisis de riego segunda parte
Analisis de riego segunda parteAnalisis de riego segunda parte
Analisis de riego segunda parteJesus Vilchez
 
Obligación de emitir Comprobantes Electrónicos 2018
Obligación de emitir Comprobantes Electrónicos 2018Obligación de emitir Comprobantes Electrónicos 2018
Obligación de emitir Comprobantes Electrónicos 2018Miguel Torres
 

Más contenido relacionado

La actualidad más candente

Riesgos y amenazas de la informacion
Riesgos y amenazas de la informacionRiesgos y amenazas de la informacion
Riesgos y amenazas de la informacionJean Carlos Leon Vega
 
Ppt seguridad informática
Ppt seguridad informáticaPpt seguridad informática
Ppt seguridad informáticakaribdis05
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Seguridad Informática - Ensayo
Seguridad Informática - Ensayo Seguridad Informática - Ensayo
Seguridad Informática - Ensayoronaldmartinez11
 
Power Point de la seguridad informática
Power Point de la seguridad informáticaPower Point de la seguridad informática
Power Point de la seguridad informáticavektormrtnz
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informaticarayudi
 
Test básico de seguridad informática
Test básico de seguridad informáticaTest básico de seguridad informática
Test básico de seguridad informáticasylvia1999
 
PROBLEMAS Y SOLUCIONES DE SEGURIDAD INFORMATICA
PROBLEMAS Y SOLUCIONES DE SEGURIDAD INFORMATICAPROBLEMAS Y SOLUCIONES DE SEGURIDAD INFORMATICA
PROBLEMAS Y SOLUCIONES DE SEGURIDAD INFORMATICATIC1B
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informaticaGemiunivo
 
Diapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaDiapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaPedro Cobarrubias
 
Riesgos informáticos
Riesgos informáticosRiesgos informáticos
Riesgos informáticosLorena Molina
 
Diapositivas virus informaticos
Diapositivas virus informaticosDiapositivas virus informaticos
Diapositivas virus informaticosdiana ballen
 
Seguridad y Riesgos de la computadora
Seguridad y Riesgos de la computadoraSeguridad y Riesgos de la computadora
Seguridad y Riesgos de la computadoraFabian Sosa
 
Seguridad en la nube exposicion completa
Seguridad en la nube exposicion completaSeguridad en la nube exposicion completa
Seguridad en la nube exposicion completaMaxwell Kenshin
 
Seguridad informatica slideshare
Seguridad informatica slideshareSeguridad informatica slideshare
Seguridad informatica slideshareb1cceliagonzalez
 
20161021 JS Cybersecurity Service Proposal
20161021 JS Cybersecurity Service Proposal20161021 JS Cybersecurity Service Proposal
20161021 JS Cybersecurity Service ProposalCarl Bradley Pate
 
Conocimientos básicos de la seguridad informática
Conocimientos básicos de la seguridad informáticaConocimientos básicos de la seguridad informática
Conocimientos básicos de la seguridad informáticaLORENAJUYAR
 
Diapositivas virus informatico
Diapositivas virus informaticoDiapositivas virus informatico
Diapositivas virus informaticoheiidy rodriguez
 

La actualidad más candente (20)

Riesgos y amenazas de la informacion
Riesgos y amenazas de la informacionRiesgos y amenazas de la informacion
Riesgos y amenazas de la informacion
 
Ppt seguridad informática
Ppt seguridad informáticaPpt seguridad informática
Ppt seguridad informática
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
PowerPoint Seguridad Informática
PowerPoint Seguridad InformáticaPowerPoint Seguridad Informática
PowerPoint Seguridad Informática
 
Seguridad Informática - Ensayo
Seguridad Informática - Ensayo Seguridad Informática - Ensayo
Seguridad Informática - Ensayo
 
Power Point de la seguridad informática
Power Point de la seguridad informáticaPower Point de la seguridad informática
Power Point de la seguridad informática
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informatica
 
Test básico de seguridad informática
Test básico de seguridad informáticaTest básico de seguridad informática
Test básico de seguridad informática
 
PROBLEMAS Y SOLUCIONES DE SEGURIDAD INFORMATICA
PROBLEMAS Y SOLUCIONES DE SEGURIDAD INFORMATICAPROBLEMAS Y SOLUCIONES DE SEGURIDAD INFORMATICA
PROBLEMAS Y SOLUCIONES DE SEGURIDAD INFORMATICA
 
8. tipos de auditoria en informatica
8. tipos de auditoria en informatica8. tipos de auditoria en informatica
8. tipos de auditoria en informatica
 
Diapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaDiapositiva sobre seguridad informática
Diapositiva sobre seguridad informática
 
Riesgos informáticos
Riesgos informáticosRiesgos informáticos
Riesgos informáticos
 
Diapositivas virus informaticos
Diapositivas virus informaticosDiapositivas virus informaticos
Diapositivas virus informaticos
 
Seguridad y Riesgos de la computadora
Seguridad y Riesgos de la computadoraSeguridad y Riesgos de la computadora
Seguridad y Riesgos de la computadora
 
Seguridad en la nube exposicion completa
Seguridad en la nube exposicion completaSeguridad en la nube exposicion completa
Seguridad en la nube exposicion completa
 
Seguridad informatica slideshare
Seguridad informatica slideshareSeguridad informatica slideshare
Seguridad informatica slideshare
 
20161021 JS Cybersecurity Service Proposal
20161021 JS Cybersecurity Service Proposal20161021 JS Cybersecurity Service Proposal
20161021 JS Cybersecurity Service Proposal
 
Conocimientos básicos de la seguridad informática
Conocimientos básicos de la seguridad informáticaConocimientos básicos de la seguridad informática
Conocimientos básicos de la seguridad informática
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
 
Diapositivas virus informatico
Diapositivas virus informaticoDiapositivas virus informatico
Diapositivas virus informatico
 

Destacado

Analisis de riego segunda parte
Analisis de riego segunda parteAnalisis de riego segunda parte
Analisis de riego segunda parteJesus Vilchez
 
Obligación de emitir Comprobantes Electrónicos 2018
Obligación de emitir Comprobantes Electrónicos 2018Obligación de emitir Comprobantes Electrónicos 2018
Obligación de emitir Comprobantes Electrónicos 2018Miguel Torres
 
Por Que Nacen Las Empresas
Por Que Nacen Las EmpresasPor Que Nacen Las Empresas
Por Que Nacen Las EmpresasROBINHOOD
 
Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242hammettbv
 
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAIDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAJhonatan Castañeda Velazquez
 
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓNDeclaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓNAlejandra Prado
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
Proyecto final grupo_102058_38
Proyecto final grupo_102058_38Proyecto final grupo_102058_38
Proyecto final grupo_102058_38ronalitomejia
 
El entorno de la empresa
El entorno de la empresaEl entorno de la empresa
El entorno de la empresalidytazo
 
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...Rooswelth Gerardo Zavaleta Benites
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEYairTobon
 
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.Paola Lovee
 
Proceso de administracion de estrategias
Proceso de administracion de estrategiasProceso de administracion de estrategias
Proceso de administracion de estrategiasalexander alticoru
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosAranda Software
 
Informe sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategicoInforme sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategicoJuan Prudencio
 

Destacado (20)

Analisis de riego segunda parte
Analisis de riego segunda parteAnalisis de riego segunda parte
Analisis de riego segunda parte
 
Obligación de emitir Comprobantes Electrónicos 2018
Obligación de emitir Comprobantes Electrónicos 2018Obligación de emitir Comprobantes Electrónicos 2018
Obligación de emitir Comprobantes Electrónicos 2018
 
12 amenazas a la seguridad de la información
12 amenazas a la seguridad de la información12 amenazas a la seguridad de la información
12 amenazas a la seguridad de la información
 
Por Que Nacen Las Empresas
Por Que Nacen Las EmpresasPor Que Nacen Las Empresas
Por Que Nacen Las Empresas
 
Tutorial 2 plagio
Tutorial 2 plagioTutorial 2 plagio
Tutorial 2 plagio
 
Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242Examen final diseño_de_proyectos_242
Examen final diseño_de_proyectos_242
 
Evaluación de Riesgo
Evaluación de Riesgo Evaluación de Riesgo
Evaluación de Riesgo
 
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICAIDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
IDENTIFICACIÒN DE AMENAZAS COMUNES A LA SEGURIDAD INALAMBRICA
 
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓNDeclaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
Declaración sobre Informe de la OEA - TSE BOLIVIA y el PADRÓN
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
 
Proyecto final grupo_102058_38
Proyecto final grupo_102058_38Proyecto final grupo_102058_38
Proyecto final grupo_102058_38
 
El entorno de la empresa
El entorno de la empresaEl entorno de la empresa
El entorno de la empresa
 
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
OIT - Guía para la prevención e identificación del Trabajo Forzoso dirigido a...
 
Analisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVEAnalisis Riesgo Metodología OCTAVE
Analisis Riesgo Metodología OCTAVE
 
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
Evidencia 2 De Conocimiento Actividad Interactiva Ciclo PHVA.
 
Proceso de administracion de estrategias
Proceso de administracion de estrategiasProceso de administracion de estrategias
Proceso de administracion de estrategias
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgos
 
Documento análisis vulnerabilidad
Documento análisis vulnerabilidadDocumento análisis vulnerabilidad
Documento análisis vulnerabilidad
 
Informe sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategicoInforme sobre el analisis foda..........planeamiento estrategico
Informe sobre el analisis foda..........planeamiento estrategico
 

Similar a Auditoría Riesgos Informáticos

SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICAcontiforense
 
Seg. info tp. 3
Seg. info tp. 3Seg. info tp. 3
Seg. info tp. 3Naancee
 
Seg. info tp. 3
Seg. info tp. 3Seg. info tp. 3
Seg. info tp. 3Naancee
 
Administracion de la seguridad de las ti
Administracion de la seguridad de las tiAdministracion de la seguridad de las ti
Administracion de la seguridad de las tiMBouvier2
 
Administracion de la seguridad de las ti
Administracion de la seguridad de las tiAdministracion de la seguridad de las ti
Administracion de la seguridad de las tiMBouvier2
 
Administracion de la seguridad de las ti
Administracion de la seguridad de las tiAdministracion de la seguridad de las ti
Administracion de la seguridad de las tiMBouvier2
 
Administracion de la seguridad de las ti
Administracion de la seguridad de las tiAdministracion de la seguridad de las ti
Administracion de la seguridad de las tiMBouvier2
 
Presentacion en power point
Presentacion en power pointPresentacion en power point
Presentacion en power pointbutterflysunx
 
Seguridad en los centros de computo estela
Seguridad en los centros de computo estelaSeguridad en los centros de computo estela
Seguridad en los centros de computo estelaEstela Peña
 
Seguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosSeguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosLuis R Castellanos
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2borjarodriguez
 

Similar a Auditoría Riesgos Informáticos (20)

Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
 
Seg. info tp. 3
Seg. info tp. 3Seg. info tp. 3
Seg. info tp. 3
 
Seg. info tp. 3
Seg. info tp. 3Seg. info tp. 3
Seg. info tp. 3
 
Administracion de la seguridad de las ti
Administracion de la seguridad de las tiAdministracion de la seguridad de las ti
Administracion de la seguridad de las ti
 
Administracion de la seguridad de las ti
Administracion de la seguridad de las tiAdministracion de la seguridad de las ti
Administracion de la seguridad de las ti
 
Administracion de la seguridad de las ti
Administracion de la seguridad de las tiAdministracion de la seguridad de las ti
Administracion de la seguridad de las ti
 
Administracion de la seguridad de las ti
Administracion de la seguridad de las tiAdministracion de la seguridad de las ti
Administracion de la seguridad de las ti
 
Presentacion en power point
Presentacion en power pointPresentacion en power point
Presentacion en power point
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Alexis lopez
Alexis lopezAlexis lopez
Alexis lopez
 
Seguridad inf
Seguridad infSeguridad inf
Seguridad inf
 
Seguridad en los centros de computo estela
Seguridad en los centros de computo estelaSeguridad en los centros de computo estela
Seguridad en los centros de computo estela
 
03 seguridad
03 seguridad03 seguridad
03 seguridad
 
Seguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosSeguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis Castellanos
 
Seguridad informatica 2
Seguridad informatica 2Seguridad informatica 2
Seguridad informatica 2
 

Auditoría Riesgos Informáticos

  • 2. GESTION DE RIESGOS EN INFORMATICA En los sistemas informáticos se presentan: Vulnerabilidades Amenazas Que Atentan contra La INTEGRIDAD La CONFIDENCIALIDAD La DISPONIBILIDAD Riesgos
  • 3. GESTION DE RIESGOS Debilidades QUE ES UNA VULNERABILIDAD? Fallas Presentes en los sistemas informáticos
  • 4. ALGUNAS VULNERABILIDADES EN INFORMÁTICA.  Mala ubicación del centro de computo.  Software mal configurado.
  • 5. ALGUNAS VULNERABILIDADES EN INFORMÁTICA.  Software desactualizado.  Falta de Hardware o hardware obsoleto.
  • 6. ALGUNAS VULNERABILIDADES EN INFORMÁTICA.  Ausencia de copias de seguridad o copias de seguridad incompletas.  Ausencia de seguridad en archivos digitales o archivos físicos confidenciales.
  • 7. ALGUNAS VULNERABILIDADES EN INFORMÁTICA.  Cuentas de usuario mal configuradas.  Desconocimiento y/o falta de socialización de normas o políticas a los usuarios por los responsables de informática.
  • 8. ALGUNAS VULNERABILIDADES EN INFORMÁTICA.  Dependencia exclusiva de un proveedor de servicio técnico externo.  Ausencia de documentación de la operación de las aplicaciones.
  • 9.  Pantalla en un sistema de información sin bloqueo por el usuario o sin protector de pantalla.  Centro de computo sin UPS
  • 10. GESTION DE RIESGOS Acciones dañinas QUE SON LAS AMENAZAS? Acciones con consecuencias negativas A los sistemas informáticos
  • 11. ALGUNAS AMENAZAS EN INFORMÁTICA Se puede Contraer virus.  Se pueden Dañar equipos de computo  Se puede acceder sin autorización a los sistemas de información.  Se pueden presentar inundaciones.  Se pueden presentar interrupciones en el servicio.  Pueden Fallar los equipos de computo.  Se pueden presentar desastres naturales.  Se puede parar la empresa 
  • 12. RIESGOS RIESGO Probabilidad de que Una amenaza se materialice utilizando una vulnerabilidad, generando un impacto con perdidas o daños.
  • 13. RIESGOS Algunos ejemplos de riesgos.  Perdida de datos  Información errónea  Daños en hardware  Perdidas económicas  Perdida de credibilidad.  Caída de la Red.  Servidor fuera de servicio
  • 14. RIESGOS Destrucción de información confidencial.  Fuga de información.  Falta de disponibilidad de aplicaciones criticas.  Incendios en el centro de computo.  Perdida de integridad de los datos. 
  • 15. PROBABILIDAD Probabilidad: de ocurrencia de la amenaza, puede ser cualitativa o cuantitativa
  • 16. IMPACTO Impacto: consecuencias de la ocurrencia de la amenaza, pueden ser Económicas, no Económicas
  • 17. VALORACIÓN DEL RIESGO Proceso mediante el cual se establece la probabilidad de que ocurran daños o pérdidas materiales y la cuantificación de los mismos. La valoración del riesgo, es el producto de la Probabilidad de Amenaza por el impacto del daño, está agrupado en tres rangos.  Bajo Riesgo = 1 – 6 (Verde)  Medio Riesgo = 8 – 9 (amarillo)  Alto Riesgo = 12 – 16 (rojo)
  • 18. MATRIZ VALORACIÓN DEL RIESGOS (AMENAZA VS IMPACTO)
  • 19. GESTION DE RIESGOS Los objetivos de la gestión de riesgos son:  Identificar  Controlar  Reducir o eliminar las fuentes de riesgo antes de que empiecen a afectar al cumplimiento de los objetivos. (contramedidas)
  • 20. ADMINISTRACIÓN DE RIESGOS No existe una practica para reducir el riesgo a cero (0), solo la administración debe determinar minimizar la ocurrencia del riesgo, utilizando para ello el CONTROL interno.
  • 21. MEDIDAS ANTE LA PRESENCIA DE RIESGOS Son los medios utilizados para eliminar o reducir un riesgo. Se clasifican en:  MEDIDAS DE SEGURIDAD ACTIVA.  MEDIDAS DE SEGURIDAD PASIVA Las medidas de Seguridad Activa son utilizadas para reducir o minimizar la ocurrencia del riesgo y se clasifican en: Medidas Preventivas (antes del incidente)  Medidas Detectivas (durante el incidente) 
  • 22. MEDIDAS ANTE LA PRESENCIA DE RIESGOS  medidas preventivas: La autenticación de usuarios (contraseñas)  El control de acceso a los datos (permisos o privilegios)  La encriptación de datos sensibles o confidenciales.  La instalación y correcta configuración de un buen antivirus.  La socialización a los usuarios de normas y politicas en informatica. 
  • 23. MEDIDAS ANTE LA PRESENCIA DE RIESGOS      La actualización del software (sistemas operativos, aplicaciones, programas) La instalación de hardware redundante en los servidores (discos espejos, fuentes de energía, tarjetas de red. La instalación de una UPS. La validación de los datos. La implementación de sistemas de acceso al CPD.
  • 24. MEDIDAS ANTE LA PRESENCIA DE RIESGOS  Medidas Detectivas: Sistemas de detección de intrusos  Procedimientos para análisis de los log  Antivirus  Antispyware.  Firewalls o cortafuegos 
  • 25. MEDIDAS ANTE LA PRESENCIA DE RIESGOS  MEDIDAS DE SEGURIDAD PASIVAS. Son medidas utilizadas para minimizar el impacto causado cuando se presenta el incidente. También se conocen como medidas correctivas. (se aplican después de ocurrido el incidente). La recuperación de datos usando una copia de seguridad.  Ejecución de un plan de contingencias. 
  • 26. CICLO ADMINISTRACIÓN DE RIESGOS LA ADMINISTRACIÓN DE RIESGOS EMPRESARIALES REQUIERE: 2a 1 IDENTIFICAR VAR DEFINIR IMPACTO 2 PONDERAR CADA RIESGO 2b TOMAR DECISION RIESGO RESIDUAL 4 PROBABILIDA DE OCURRENCIA EVALUAR EFECTIVIDA CONTROLES 3
  • 27. RIESGO RESIDUAL Es un suceso o circunstancia indeterminada que permanece después de haber ejecutado todos los controles a los riesgos
  • 28. ADMINISTRACIÓN DEL RIESGO Riesgo Total y Riesgo Residual Riesgo Total = Probabilidad de ocurrencia * Impacto promedio Probabil Grado de Impacto (millones$) Efectivid Riesgo Riesgo total ad del residual AMENAZA idad Servidores Terminales Datos Instalaciones Personal Incendio 1% 20 10 16 124 82 2,52 control 100% Inundacion 0,50% 20 20 16 44 2 0,51 90% 0,05 Accesos no autorizados 20% 2 0 24 0 0 5,20 50% 2,60 Fallas 25% 1 1 4 0 0 1,50 50% 0,75 Virus 30% 4 6 2 0 0 3,60 80% 0,72
  • 29. DECISIÓN DEL RIESGO RESIDUAL • • • •  T erminar R educir A ceptar P asar
  • 30. DECISIÓN DEL RIESGO RESIDUAL • Terminar: abandonar la actividad por excesivamente riesgosa • Reducir: fortalecer controles o implementar nuevos controles • Aceptar: tomar el riesgo • Pasar: contratar, por ejemplo, una póliza de seguro (ejemplo póliza de seguros para amparar ataques cibernéticos)
  • 32. EN QUE CONSISTE…. La Seguridad Física consiste en la protección del entorno Informático (hardware y edificios de computo) mediante la aplicación de barreras físicas y procedimientos de control, ante posibles amenazas físicas
  • 33. VULNERABILIDADES FISICAS  Es la situación creada por controles mal diseñados o por la falta de uno o varios controles y que pueden crear una amenaza que pueden afectar al entorno informático. Ejemplos: falta de controles de acceso lógico, falta de controles electricos, inexistencia de un control de soportes magnéticos, falta de cifrado en las comunicaciones, etc
  • 34. AMENAZAS PARA LA SEG FISICA  AMENAZA: Personas o elementos vistos como posible fuente de peligro o catástrofe. Los mecanismos de seguridad física deben resguardar de amenazas producidas tanto por el hombre como por la naturaleza los recursos informáticos de la empresa.
  • 35. AMENAZAS FÍSICAS Ejemplo de amenazas físicas  inundaciones  incendios  Terremotos  Fugas de agua
  • 36. AMENAZAS POR PERSONAS Sabotaje internos o externos (conductas dirigidas a causar daños al hardware o software: accesos no autorizados, daño o modificacion sin autorizacion al software, Negligencia en aplicación de políticas de seguridad  Errores involuntarios o voluntarios en el uso de la tecnología informática.  Ingeniería Social 
  • 37. RIESGO  RIESGO: la probabilidad de que una amenaza llegue a suceder debido a una vulnerabilidad con consecuencias negativas.
  • 38. CONTROLES PARA SEG FISICA             Instalación de Alarmas. Extintores manuales de incendios. Sensores de temperatura. Detectores de humo. Ubicación estratégica del centro de cómputos. Paredes, pisos y cielorrasos a prueba de incendios Protectores de voltaje Interruptor de energía de emergencia No comer, beber, fumar dentro del centro de cómputos Humedad y Temperaturas adecuadas Planes documentados y probados de evacuación de emergencia. Adquisición de UPS.
  • 39. CONTROLES DE ACCESO FÍSICO          Cerraduras con combinación. Cerraduras electrónicas: utiliza llave, ficha o tarjeta magnética. Cerraduras biométricas. Bitácora o registro manual: libro de visitantes que incluya nombre, motivo de la visita, fecha, hora y firma Cámara de video. Guardias de Seguridad Acceso controlado de visitantes: ej. acompañados siempre de un empleado responsable. Sistema de alarma. 2 puertas de acceso ubicadas en sentidos contrarios
  • 41. EN QUE CONSISTE La seguridad lógica, se refiere a la protección del uso del software (datos, programas y aplicaciones), con el fin de mantener la integridad, la confidencialidad y la disponibilidad de la información.
  • 42. OBJETIVOS Preservar los Activos de Información de la empresa para que sean siempre utilizados de forma autorizada. Evitar acciones que puedan provocar su alteración, denegación, borrado o divulgación no autorizados, de forma accidental o intencionada
  • 43. SEGURIDAD LÓGICA La seguridad lógica abarca las siguientes áreas:  Aplicaciones Informáticas.  Claves de acceso.  Software de control de acceso.  Encriptamiento.
  • 44. AUTENTICACIÓN DE USUARIOS    Objetivo Asegurar que un usuario es quien dice ser, cuando accede al Sistema. En general, el proceso de autenticación de un usuario está basado en: algo que sabe (contraseña); algo que tiene (tarjeta, dispositivo, etc.); algo que es (características biométricas). La utilización de sólo uno de los métodos anteriores se denomina Autenticación Simple.
  • 45. CARACTERISTICAS DE LAS CONTRASEÑAS    Para la protección de los Activos de Información de la empresa y la protección del propio usuario, la contraseña: Tiene que ser secreta y no compartida con nadie, No puede ser visualizada en pantalla mientras se teclea, No puede ser almacenada en claro (sin cifrar).
  • 46. CARACTERISTICAS DE LAS CONTRASEÑAS tener una longitud mínima de 6 caracteres; o tener al menos un carácter numérico y uno alfabético;  no empezar ni terminar con un número;  no tener mas de dos caracteres iguales consecutivos.  ser cambiada, al menos, cada 60 días para usuarios generales y cada 30 días para usuarios que tengan algún tipo de privilegio o autoridad. Tiene que haber instalado un control que informe a los usuarios cuando su contraseña tiene que ser cambiada; 
  • 47. CARACTERISTICAS DE LAS CONTRASEÑAS   No debe ser reutilizada hasta después de, al menos, 12 cambios; no contener el identificador de usuario, como parte de la contraseña.