Este documento trata sobre la gestión de riesgos en sistemas de información. Explica conceptos clave como vulnerabilidades, amenazas, riesgos, probabilidad de ocurrencia, impacto y medidas para controlar riesgos. También describe ejemplos comunes de vulnerabilidades, amenazas y riesgos en sistemas informáticos, así como controles para prevenir, detectar y mitigar riesgos.
2. GESTION DE RIESGOS EN INFORMATICA
En los sistemas informáticos se presentan:
Vulnerabilidades
Amenazas
Que Atentan contra
La INTEGRIDAD
La CONFIDENCIALIDAD
La DISPONIBILIDAD
Riesgos
6. ALGUNAS VULNERABILIDADES EN INFORMÁTICA.
Ausencia de copias de seguridad o copias de
seguridad incompletas.
Ausencia de seguridad en archivos digitales o
archivos físicos confidenciales.
7. ALGUNAS VULNERABILIDADES EN INFORMÁTICA.
Cuentas de usuario mal configuradas.
Desconocimiento y/o falta de socialización de
normas o políticas a los usuarios por los
responsables de informática.
8. ALGUNAS VULNERABILIDADES EN INFORMÁTICA.
Dependencia exclusiva de un proveedor de
servicio técnico externo.
Ausencia de documentación de la operación de
las aplicaciones.
9.
Pantalla en un sistema de información sin
bloqueo por el usuario o sin protector de
pantalla.
Centro de computo sin UPS
11. ALGUNAS AMENAZAS EN INFORMÁTICA
Se puede Contraer virus.
Se pueden Dañar equipos de computo
Se puede acceder sin autorización a los
sistemas de información.
Se pueden presentar inundaciones.
Se pueden presentar interrupciones en el
servicio.
Pueden Fallar los equipos de computo.
Se pueden presentar desastres naturales.
Se puede parar la empresa
13. RIESGOS
Algunos ejemplos de riesgos.
Perdida de datos
Información errónea
Daños en hardware
Perdidas económicas
Perdida de credibilidad.
Caída de la Red.
Servidor fuera de servicio
14. RIESGOS
Destrucción de información confidencial.
Fuga de información.
Falta de disponibilidad de aplicaciones
criticas.
Incendios en el centro de computo.
Perdida de integridad de los datos.
17. VALORACIÓN DEL RIESGO
Proceso mediante el cual se establece la
probabilidad de que ocurran daños o pérdidas
materiales y la cuantificación de los mismos.
La valoración del riesgo, es el producto de la
Probabilidad de Amenaza por el impacto del daño,
está agrupado en tres rangos.
Bajo Riesgo = 1 – 6 (Verde)
Medio Riesgo = 8 – 9 (amarillo)
Alto Riesgo = 12 – 16 (rojo)
19. GESTION DE RIESGOS
Los objetivos de la gestión de riesgos son:
Identificar
Controlar
Reducir o eliminar las fuentes de riesgo antes
de que empiecen a afectar al cumplimiento de
los objetivos. (contramedidas)
20. ADMINISTRACIÓN DE RIESGOS
No existe una practica para reducir el riesgo
a cero (0), solo la administración debe
determinar minimizar la ocurrencia del
riesgo, utilizando para ello el CONTROL
interno.
21. MEDIDAS ANTE LA PRESENCIA DE RIESGOS
Son los medios utilizados para eliminar o
reducir un riesgo. Se clasifican en:
MEDIDAS DE SEGURIDAD ACTIVA.
MEDIDAS DE SEGURIDAD PASIVA
Las medidas de Seguridad Activa son utilizadas
para reducir o minimizar la ocurrencia del
riesgo y se clasifican en:
Medidas Preventivas (antes del incidente)
Medidas Detectivas (durante el incidente)
22. MEDIDAS ANTE LA PRESENCIA DE RIESGOS
medidas preventivas:
La autenticación de usuarios (contraseñas)
El control de acceso a los datos (permisos o
privilegios)
La encriptación de datos sensibles o
confidenciales.
La instalación y correcta configuración de un buen
antivirus.
La socialización a los usuarios de normas y
politicas en informatica.
23. MEDIDAS ANTE LA PRESENCIA DE RIESGOS
La actualización del software (sistemas operativos,
aplicaciones, programas)
La instalación de hardware redundante en los
servidores (discos espejos, fuentes de energía,
tarjetas de red.
La instalación de una UPS.
La validación de los datos.
La implementación de sistemas de acceso al CPD.
24. MEDIDAS ANTE LA PRESENCIA DE RIESGOS
Medidas Detectivas:
Sistemas de detección de intrusos
Procedimientos para análisis de los log
Antivirus
Antispyware.
Firewalls o cortafuegos
25. MEDIDAS ANTE LA PRESENCIA DE RIESGOS
MEDIDAS DE SEGURIDAD PASIVAS.
Son medidas utilizadas para minimizar el impacto
causado cuando se presenta el incidente.
También se conocen como medidas correctivas.
(se aplican después de ocurrido el incidente).
La recuperación de datos usando una copia de
seguridad.
Ejecución de un plan de contingencias.
26. CICLO ADMINISTRACIÓN DE RIESGOS
LA ADMINISTRACIÓN DE RIESGOS EMPRESARIALES REQUIERE:
2a
1
IDENTIFICAR
VAR
DEFINIR
IMPACTO
2
PONDERAR
CADA RIESGO
2b
TOMAR
DECISION
RIESGO
RESIDUAL
4
PROBABILIDA
DE
OCURRENCIA
EVALUAR
EFECTIVIDA
CONTROLES
3
27. RIESGO RESIDUAL
Es un suceso o circunstancia indeterminada
que permanece después de haber ejecutado
todos los controles a los riesgos
28. ADMINISTRACIÓN DEL RIESGO
Riesgo Total y Riesgo Residual
Riesgo Total = Probabilidad de ocurrencia * Impacto promedio
Probabil
Grado de Impacto (millones$)
Efectivid Riesgo
Riesgo total
ad del residual
AMENAZA
idad Servidores Terminales Datos Instalaciones Personal
Incendio
1% 20
10
16
124
82
2,52 control
100%
Inundacion
0,50% 20
20
16
44
2
0,51
90% 0,05
Accesos no autorizados 20% 2
0
24
0
0
5,20
50% 2,60
Fallas
25% 1
1
4
0
0
1,50
50% 0,75
Virus
30% 4
6
2
0
0
3,60
80% 0,72
29. DECISIÓN DEL RIESGO RESIDUAL
•
•
•
•
T erminar
R educir
A ceptar
P asar
30. DECISIÓN DEL RIESGO RESIDUAL
• Terminar: abandonar la actividad por
excesivamente riesgosa
• Reducir: fortalecer controles o implementar
nuevos controles
• Aceptar: tomar el riesgo
• Pasar: contratar, por ejemplo, una póliza de
seguro (ejemplo póliza de seguros para
amparar ataques cibernéticos)
32. EN QUE CONSISTE….
La Seguridad Física consiste en la protección
del entorno Informático (hardware y edificios de
computo) mediante la aplicación de barreras
físicas y procedimientos de control, ante
posibles amenazas físicas
33. VULNERABILIDADES FISICAS
Es la situación creada por controles mal
diseñados o por la falta de uno o varios
controles y que pueden crear una amenaza
que pueden afectar al entorno informático.
Ejemplos: falta de controles de acceso lógico,
falta de controles electricos, inexistencia de un
control de soportes magnéticos, falta de
cifrado en las comunicaciones, etc
34. AMENAZAS PARA LA SEG FISICA
AMENAZA:
Personas o elementos vistos como posible
fuente de peligro o catástrofe. Los
mecanismos de seguridad física deben
resguardar de amenazas producidas tanto
por el hombre como por la naturaleza los
recursos informáticos de la empresa.
36. AMENAZAS POR PERSONAS
Sabotaje internos o externos (conductas
dirigidas a causar daños al hardware o
software: accesos no autorizados, daño o
modificacion sin autorizacion al software,
Negligencia en aplicación de políticas de
seguridad
Errores involuntarios o voluntarios en el uso de
la tecnología informática.
Ingeniería Social
38. CONTROLES PARA SEG FISICA
Instalación de Alarmas.
Extintores manuales de incendios.
Sensores de temperatura.
Detectores de humo.
Ubicación estratégica del centro de cómputos.
Paredes, pisos y cielorrasos a prueba de incendios
Protectores de voltaje
Interruptor de energía de emergencia
No comer, beber, fumar dentro del centro de cómputos
Humedad y Temperaturas adecuadas
Planes documentados y probados de evacuación de
emergencia.
Adquisición de UPS.
39. CONTROLES DE ACCESO FÍSICO
Cerraduras con combinación.
Cerraduras electrónicas: utiliza llave, ficha o tarjeta magnética.
Cerraduras biométricas.
Bitácora o registro manual: libro de visitantes que incluya
nombre, motivo de la visita, fecha, hora y firma
Cámara de video.
Guardias de Seguridad
Acceso controlado de visitantes: ej. acompañados siempre de
un empleado responsable.
Sistema de alarma.
2 puertas de acceso ubicadas en sentidos contrarios
41. EN QUE CONSISTE
La seguridad lógica, se refiere a la protección
del uso del software (datos, programas y
aplicaciones), con el fin de mantener la
integridad, la confidencialidad y la
disponibilidad de la información.
42. OBJETIVOS
Preservar los Activos de Información de la
empresa para que sean siempre utilizados
de forma autorizada.
Evitar acciones que puedan provocar su
alteración, denegación, borrado o
divulgación no autorizados, de forma
accidental o intencionada
43. SEGURIDAD LÓGICA
La seguridad lógica abarca las siguientes
áreas:
Aplicaciones Informáticas.
Claves de acceso.
Software de control de acceso.
Encriptamiento.
44. AUTENTICACIÓN DE USUARIOS
Objetivo
Asegurar que un usuario es quien dice ser, cuando
accede al Sistema.
En general, el proceso de autenticación de un usuario
está basado en:
algo que sabe (contraseña);
algo que tiene (tarjeta, dispositivo, etc.);
algo que es (características biométricas).
La utilización de sólo uno de los métodos anteriores
se denomina Autenticación Simple.
45. CARACTERISTICAS DE LAS CONTRASEÑAS
Para la protección de los Activos de Información de la
empresa y la protección del propio usuario, la
contraseña:
Tiene que ser secreta y no compartida con nadie,
No puede ser visualizada en pantalla mientras se
teclea,
No puede ser almacenada en claro (sin cifrar).
46. CARACTERISTICAS DE LAS
CONTRASEÑAS
tener una longitud mínima de 6 caracteres; o
tener al menos un carácter numérico y uno
alfabético;
no empezar ni terminar con un número;
no tener mas de dos caracteres iguales
consecutivos.
ser cambiada, al menos, cada 60 días para
usuarios generales y cada 30 días para usuarios
que tengan algún tipo de privilegio o autoridad.
Tiene que haber instalado un control que
informe a los usuarios cuando su contraseña
tiene que ser cambiada;
47. CARACTERISTICAS DE LAS CONTRASEÑAS
No debe ser reutilizada hasta después de, al menos,
12 cambios;
no contener el identificador de usuario, como parte de
la contraseña.