Este documento introduce el concepto de riesgo informático y describe los pasos para administrar y analizar los riesgos. 1) Define los elementos clave del riesgo como probabilidad, amenazas, vulnerabilidades, activos e impactos. 2) Explica que el análisis de riesgos identifica los riesgos y cuantifica la exposición total y residual. 3) Señala que la administración de riesgos implica gestionar los recursos para lograr un nivel de exposición determinado y tomar acciones sobre los riesgos residuales.
Este documento trata sobre la seguridad informática. Explica que la seguridad informática no es absoluta y que el objetivo es reducir las oportunidades de que un sistema sea comprometido o minimizar los daños de un ataque. Al sufrir un ataque, los elementos en riesgo son los datos, los recursos y la reputación de una persona u organización. También recomienda realizar un análisis de riesgos para identificar las amenazas, activos y vulnerabilidades de un sistema.
Este documento presenta una guía didáctica para el curso "Seguridad, ética y tecnología" que forma parte del módulo I "Marco Contextual de las TIC" de la maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación de la Pontificia Universidad Católica del Perú. La guía incluye información sobre conceptos de seguridad informática, peligros comunes en Internet como virus y phishing, y temas de ética y regulación relacionados a las tecn
Seguridad Informatica y Gestión de Riesgosdaylisyfran
Este documento presenta información sobre seguridad informática. Explica conceptos como amenazas, virus, gestión de riesgos y técnicas para asegurar sistemas. También describe la importancia de políticas de seguridad, respaldos de información y consideraciones para redes. El objetivo es fomentar el cuidado de la información y la protección de activos digitales.
Este documento describe los conceptos clave de la seguridad informática, incluyendo la definición, objetivos, gestión de riesgos, amenazas, vulnerabilidades y medidas de protección. El objetivo principal es garantizar la confidencialidad, integridad y disponibilidad de la información a través de un enfoque de gestión de riesgos que involucra el análisis, clasificación y reducción de riesgos.
El documento presenta información sobre seguridad informática. Explica que la seguridad informática se enfoca en proteger la infraestructura computacional y la información contenida o que circula por ella. También describe algunas características clave de la seguridad informática como la integridad, confidencialidad y disponibilidad de la información. Por último, ofrece algunas recomendaciones para mejorar la seguridad como mantener el software actualizado e instalar antivirus y cortafuegos.
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Gabriel Marcos
El documento presenta varios puntos clave para gerenciar la seguridad y minimizar riesgos en una organización. Recomienda definir políticas de seguridad únicas, crear un comité de seguridad e implementar la figura de un CISO. También enfatiza la importancia de la comunicación, asignar un presupuesto adecuado y pensar en la seguridad para garantizar la disponibilidad de los servicios. Finalmente, sugiere dimensionar correctamente el perímetro de seguridad teniendo en cuenta que hoy no existen áreas de confianza en
Este documento trata sobre la seguridad de los sistemas operativos. Explica que la evolución de la computación y las comunicaciones ha hecho los sistemas más accesibles pero también más vulnerables. Detalla los requisitos de seguridad, incluyendo la seguridad externa, operacional y física. También cubre temas como la vigilancia, verificación de amenazas, amplificación y protección por contraseña. El objetivo general es identificar amenazas y establecer medidas para proteger los sistemas y la información.
La seguridad informática busca proteger la infraestructura computacional y la información contenida de amenazas. Existen amenazas internas y externas, como usuarios malintencionados, programas maliciosos, intrusos, desastres y errores humanos. En el futuro, las amenazas manipularán el significado de la información digital debido al avance de la Web semántica, en lugar de solo robar datos.
Este documento trata sobre la seguridad informática. Explica que la seguridad informática no es absoluta y que el objetivo es reducir las oportunidades de que un sistema sea comprometido o minimizar los daños de un ataque. Al sufrir un ataque, los elementos en riesgo son los datos, los recursos y la reputación de una persona u organización. También recomienda realizar un análisis de riesgos para identificar las amenazas, activos y vulnerabilidades de un sistema.
Este documento presenta una guía didáctica para el curso "Seguridad, ética y tecnología" que forma parte del módulo I "Marco Contextual de las TIC" de la maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación de la Pontificia Universidad Católica del Perú. La guía incluye información sobre conceptos de seguridad informática, peligros comunes en Internet como virus y phishing, y temas de ética y regulación relacionados a las tecn
Seguridad Informatica y Gestión de Riesgosdaylisyfran
Este documento presenta información sobre seguridad informática. Explica conceptos como amenazas, virus, gestión de riesgos y técnicas para asegurar sistemas. También describe la importancia de políticas de seguridad, respaldos de información y consideraciones para redes. El objetivo es fomentar el cuidado de la información y la protección de activos digitales.
Este documento describe los conceptos clave de la seguridad informática, incluyendo la definición, objetivos, gestión de riesgos, amenazas, vulnerabilidades y medidas de protección. El objetivo principal es garantizar la confidencialidad, integridad y disponibilidad de la información a través de un enfoque de gestión de riesgos que involucra el análisis, clasificación y reducción de riesgos.
El documento presenta información sobre seguridad informática. Explica que la seguridad informática se enfoca en proteger la infraestructura computacional y la información contenida o que circula por ella. También describe algunas características clave de la seguridad informática como la integridad, confidencialidad y disponibilidad de la información. Por último, ofrece algunas recomendaciones para mejorar la seguridad como mantener el software actualizado e instalar antivirus y cortafuegos.
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Gabriel Marcos
El documento presenta varios puntos clave para gerenciar la seguridad y minimizar riesgos en una organización. Recomienda definir políticas de seguridad únicas, crear un comité de seguridad e implementar la figura de un CISO. También enfatiza la importancia de la comunicación, asignar un presupuesto adecuado y pensar en la seguridad para garantizar la disponibilidad de los servicios. Finalmente, sugiere dimensionar correctamente el perímetro de seguridad teniendo en cuenta que hoy no existen áreas de confianza en
Este documento trata sobre la seguridad de los sistemas operativos. Explica que la evolución de la computación y las comunicaciones ha hecho los sistemas más accesibles pero también más vulnerables. Detalla los requisitos de seguridad, incluyendo la seguridad externa, operacional y física. También cubre temas como la vigilancia, verificación de amenazas, amplificación y protección por contraseña. El objetivo general es identificar amenazas y establecer medidas para proteger los sistemas y la información.
La seguridad informática busca proteger la infraestructura computacional y la información contenida de amenazas. Existen amenazas internas y externas, como usuarios malintencionados, programas maliciosos, intrusos, desastres y errores humanos. En el futuro, las amenazas manipularán el significado de la información digital debido al avance de la Web semántica, en lugar de solo robar datos.
El documento trata sobre la seguridad informática y la seguridad de la información. Define la seguridad informática como la disciplina que se encarga de diseñar normas y técnicas para conseguir un sistema de información seguro y confiable. También define la seguridad de la información como las medidas para proteger la información y mantener su confidencialidad, integridad y disponibilidad. Explica los principales riesgos a la seguridad como ciberplagas, virus, errores humanos y fallos técnicos. Finalmente, enfatiza la importancia de prevenir
Este documento presenta un plan de contingencia para la Municipalidad Provincial de Tumbes. El plan identifica posibles riesgos como fallas en equipos, virus, fluctuaciones eléctricas, incendios y terremotos. Detalla procedimientos para lidiar con estos riesgos, incluyendo actualizaciones de antivirus, apagado de equipos durante fluctuaciones eléctricas y uso de extintores en caso de incendios. El plan también cubre respaldos de datos e información y planes de recuperación para garantizar la continuidad operativa ante cualquier amenaza.
Este documento habla sobre la seguridad informática. Explica que la seguridad informática protege la información y la infraestructura computacional de una organización. También describe los objetivos de la seguridad informática como proteger la información, la infraestructura y los usuarios. Además, detalla elementos clave de un análisis de riesgos como el análisis de impacto al negocio y la implementación de una política de seguridad. Por último, resalta la importancia de realizar respaldos continuos, seguros y remotos de la información
Expertos en seguridad informática advirtieron que la última generación de teléfonos móviles es vulnerable a hackers debido a problemas en el software Java que permitirían tomar control remoto de los teléfonos, leer contactos o escuchar conversaciones. Sin embargo, un director de seguridad dijo que el riesgo aún es mínimo.
Este documento busca repensar la seguridad de la información desde el concepto de la inseguridad. Propone aprender de la mente del atacante para diseñar sistemas menos inseguros y animar una postura vigilante en la gestión de la seguridad. Analiza los conceptos actuales de seguridad, las inversiones en seguridad y las vulnerabilidades, con el fin de proponer un modelo para la administración de la inseguridad informática.
Este documento presenta un proyecto de instalación de un antivirus realizado por estudiantes de la Universidad Técnica de Ambato. El proyecto tiene como objetivo principal enseñar a los usuarios sobre la instalación y crackeo de un antivirus para proteger la seguridad de la información. El documento incluye la introducción, objetivos, justificación, marco teórico sobre virus, seguridad informática y antivirus, y las etapas del proyecto.
Este documento presenta un resumen de los conceptos clave de seguridad de la información para pequeñas y medianas empresas. Explica que tanto pequeñas empresas como grandes corporaciones enfrentan las mismas amenazas a la seguridad como virus e intrusiones. También destaca que las pequeñas empresas a menudo carecen de los recursos y el conocimiento en seguridad de las grandes empresas. Finalmente, enfatiza la importancia de controles en el personal, políticas de seguridad y concientización sobre seguridad para proteger la información de cualquier tamaño de
Este documento presenta una estrategia para asegurar el mejor enfoque para cumplir con los requerimientos de los usuarios mediante un análisis de las oportunidades comparadas con dichos requerimientos. Propone un proceso que incluye la identificación de soluciones automatizadas, adquisición y mantenimiento de software y hardware, desarrollo y mantenimiento de procesos, e instalación y aceptación de sistemas, entre otros pasos.
Este documento habla sobre la seguridad informática. Explica que la seguridad informática protege los activos informáticos como la información y la infraestructura computacional. También describe los usuarios y las amenazas a la seguridad como virus, intrusos y desastres. Finalmente, clasifica diferentes tipos de virus como virus residentes, de acción directa, de sobreescritura y más.
Este documento describe los conceptos clave de la seguridad informática, incluyendo la confidencialidad, integridad y disponibilidad de la información. También discute los factores de riesgo como virus, fallas de hardware y errores humanos, y los mecanismos de seguridad como encriptación, cortafuegos y copias de seguridad para proteger la información. La seguridad informática es crucial para proteger los activos digitales de una organización.
Objetivos de la seguridad informatica y posibles riesgosSen Alonzo
El documento trata sobre los objetivos y elementos de la seguridad informática. El objetivo principal es mantener la integridad, disponibilidad, privacidad, control y autenticidad de la información manejada por computadoras. Los elementos clave de la seguridad informática incluyen la disponibilidad, integridad, privacidad, no repudio, auditoría y autenticidad. También se mencionan varias amenazas como hackers, crackers, virus y ataques, así como métodos para la protección como firewalls e IDS.
La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable.
Las amenazas a la seguridad informática incluyen elementos capaces de causar daño y solo existen cuando hay vulnerabilidades que pueden ser explotadas. Las amenazas intencionales han aumentado debido a técnicas de ingeniería social mejoradas, falta de capacitación de usuarios y rentabilidad creciente de los ataques. Las organizaciones deben mantenerse alertas, actualizadas y considerar la seguridad como parte integral de sus operaciones.
Este documento proporciona información sobre seguridad informática y amenazas. Brevemente describe los objetivos de la seguridad informática como proteger la información, infraestructura y usuarios. Luego explica los tipos de amenazas como programas maliciosos, intrusos, desastres y personal interno. Finalmente resume los tipos de amenazas internas y externas.
1)Generalidades de la seguridad del área física.
2)Seguridad lógica y confidencial.
3)Seguridad personal.
4)Clasificación de los controles de seguridad.
5)Seguridad en los datos y software de aplicación.
6)Controles para evaluar software de aplicación.
7)Controles para prevenir crímenes y fraudes informáticos.
8)Plan de contingencia, seguros, procedimientos de recuperación de desastres.
9)Técnicas y herramientas relacionadas con la seguridad física y del personal.
10)Técnicas y herramientas relacionadas con la seguridad de los datos y software de aplicación.
El documento trata sobre la importancia de la seguridad informática. Explica que la información es fundamental para el funcionamiento de las organizaciones y que es necesario protegerla. También define varios términos clave relacionados con la seguridad informática como riesgo, impacto, vulnerabilidad, entre otros. Por último, detalla los pasos para elaborar un plan de seguridad informática, comenzando por una evaluación de riesgos.
Tokio Marine HCC - Sandra Da Silva - Economista - Feb 2018Laura Tibbo
Sandra Da Silva, Financial Lines Manager for Iberia and Latin America at Tokio Marine HCC, interviewed about cyber risk and insurance for the Spanish daily newspaper El Ecnomista, focused on finance and economy.
El documento resume los principales métodos para calcular el área de regiones planas utilizando integrales definidas. Explica cómo calcular el área bajo una curva, el área entre dos curvas, y el área de una región delimitada por varias curvas. Proporciona ejemplos resueltos paso a paso para ilustrar cada método.
La pena de muerte ha existido desde tiempos antiguos en muchas culturas. Se aplicaba por delitos como homicidio, traición y crímenes sexuales o políticos. En la actualidad, muchos países han abolido la pena de muerte, aunque todavía se aplica en algunos estados de Estados Unidos, partes de Asia y África. El tema es controvertido y hay argumentos a favor y en contra sobre si reduce el crimen o viola los derechos humanos.
Este documento presenta una descripción general de varias matrices estratégicas utilizadas en el análisis estratégico, incluyendo la matriz EFE para evaluar factores externos, la matriz EFI para evaluar factores internos, la matriz MPC para comparar la posición competitiva de una empresa frente a sus competidores, la matriz FODA para generar estrategias aprovechando fortalezas y oportunidades y mitigando debilidades y amenazas, y la matriz IE para definir el tipo de estrategia requerida basado en la posición interna y exter
Este documento habla sobre los principios básicos de enrutamiento y subredes. Explica que los routers envían datos entre redes diferentes usando protocolos de enrutamiento. También describe cómo los protocolos IP requieren una dirección completa que especifique la porción de red y la porción de host, a diferencia de los protocolos IPX. Finalmente, resume los componentes clave de un encabezado de paquete IP.
El documento trata sobre la seguridad informática y la seguridad de la información. Define la seguridad informática como la disciplina que se encarga de diseñar normas y técnicas para conseguir un sistema de información seguro y confiable. También define la seguridad de la información como las medidas para proteger la información y mantener su confidencialidad, integridad y disponibilidad. Explica los principales riesgos a la seguridad como ciberplagas, virus, errores humanos y fallos técnicos. Finalmente, enfatiza la importancia de prevenir
Este documento presenta un plan de contingencia para la Municipalidad Provincial de Tumbes. El plan identifica posibles riesgos como fallas en equipos, virus, fluctuaciones eléctricas, incendios y terremotos. Detalla procedimientos para lidiar con estos riesgos, incluyendo actualizaciones de antivirus, apagado de equipos durante fluctuaciones eléctricas y uso de extintores en caso de incendios. El plan también cubre respaldos de datos e información y planes de recuperación para garantizar la continuidad operativa ante cualquier amenaza.
Este documento habla sobre la seguridad informática. Explica que la seguridad informática protege la información y la infraestructura computacional de una organización. También describe los objetivos de la seguridad informática como proteger la información, la infraestructura y los usuarios. Además, detalla elementos clave de un análisis de riesgos como el análisis de impacto al negocio y la implementación de una política de seguridad. Por último, resalta la importancia de realizar respaldos continuos, seguros y remotos de la información
Expertos en seguridad informática advirtieron que la última generación de teléfonos móviles es vulnerable a hackers debido a problemas en el software Java que permitirían tomar control remoto de los teléfonos, leer contactos o escuchar conversaciones. Sin embargo, un director de seguridad dijo que el riesgo aún es mínimo.
Este documento busca repensar la seguridad de la información desde el concepto de la inseguridad. Propone aprender de la mente del atacante para diseñar sistemas menos inseguros y animar una postura vigilante en la gestión de la seguridad. Analiza los conceptos actuales de seguridad, las inversiones en seguridad y las vulnerabilidades, con el fin de proponer un modelo para la administración de la inseguridad informática.
Este documento presenta un proyecto de instalación de un antivirus realizado por estudiantes de la Universidad Técnica de Ambato. El proyecto tiene como objetivo principal enseñar a los usuarios sobre la instalación y crackeo de un antivirus para proteger la seguridad de la información. El documento incluye la introducción, objetivos, justificación, marco teórico sobre virus, seguridad informática y antivirus, y las etapas del proyecto.
Este documento presenta un resumen de los conceptos clave de seguridad de la información para pequeñas y medianas empresas. Explica que tanto pequeñas empresas como grandes corporaciones enfrentan las mismas amenazas a la seguridad como virus e intrusiones. También destaca que las pequeñas empresas a menudo carecen de los recursos y el conocimiento en seguridad de las grandes empresas. Finalmente, enfatiza la importancia de controles en el personal, políticas de seguridad y concientización sobre seguridad para proteger la información de cualquier tamaño de
Este documento presenta una estrategia para asegurar el mejor enfoque para cumplir con los requerimientos de los usuarios mediante un análisis de las oportunidades comparadas con dichos requerimientos. Propone un proceso que incluye la identificación de soluciones automatizadas, adquisición y mantenimiento de software y hardware, desarrollo y mantenimiento de procesos, e instalación y aceptación de sistemas, entre otros pasos.
Este documento habla sobre la seguridad informática. Explica que la seguridad informática protege los activos informáticos como la información y la infraestructura computacional. También describe los usuarios y las amenazas a la seguridad como virus, intrusos y desastres. Finalmente, clasifica diferentes tipos de virus como virus residentes, de acción directa, de sobreescritura y más.
Este documento describe los conceptos clave de la seguridad informática, incluyendo la confidencialidad, integridad y disponibilidad de la información. También discute los factores de riesgo como virus, fallas de hardware y errores humanos, y los mecanismos de seguridad como encriptación, cortafuegos y copias de seguridad para proteger la información. La seguridad informática es crucial para proteger los activos digitales de una organización.
Objetivos de la seguridad informatica y posibles riesgosSen Alonzo
El documento trata sobre los objetivos y elementos de la seguridad informática. El objetivo principal es mantener la integridad, disponibilidad, privacidad, control y autenticidad de la información manejada por computadoras. Los elementos clave de la seguridad informática incluyen la disponibilidad, integridad, privacidad, no repudio, auditoría y autenticidad. También se mencionan varias amenazas como hackers, crackers, virus y ataques, así como métodos para la protección como firewalls e IDS.
La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable.
Las amenazas a la seguridad informática incluyen elementos capaces de causar daño y solo existen cuando hay vulnerabilidades que pueden ser explotadas. Las amenazas intencionales han aumentado debido a técnicas de ingeniería social mejoradas, falta de capacitación de usuarios y rentabilidad creciente de los ataques. Las organizaciones deben mantenerse alertas, actualizadas y considerar la seguridad como parte integral de sus operaciones.
Este documento proporciona información sobre seguridad informática y amenazas. Brevemente describe los objetivos de la seguridad informática como proteger la información, infraestructura y usuarios. Luego explica los tipos de amenazas como programas maliciosos, intrusos, desastres y personal interno. Finalmente resume los tipos de amenazas internas y externas.
1)Generalidades de la seguridad del área física.
2)Seguridad lógica y confidencial.
3)Seguridad personal.
4)Clasificación de los controles de seguridad.
5)Seguridad en los datos y software de aplicación.
6)Controles para evaluar software de aplicación.
7)Controles para prevenir crímenes y fraudes informáticos.
8)Plan de contingencia, seguros, procedimientos de recuperación de desastres.
9)Técnicas y herramientas relacionadas con la seguridad física y del personal.
10)Técnicas y herramientas relacionadas con la seguridad de los datos y software de aplicación.
El documento trata sobre la importancia de la seguridad informática. Explica que la información es fundamental para el funcionamiento de las organizaciones y que es necesario protegerla. También define varios términos clave relacionados con la seguridad informática como riesgo, impacto, vulnerabilidad, entre otros. Por último, detalla los pasos para elaborar un plan de seguridad informática, comenzando por una evaluación de riesgos.
Tokio Marine HCC - Sandra Da Silva - Economista - Feb 2018Laura Tibbo
Sandra Da Silva, Financial Lines Manager for Iberia and Latin America at Tokio Marine HCC, interviewed about cyber risk and insurance for the Spanish daily newspaper El Ecnomista, focused on finance and economy.
El documento resume los principales métodos para calcular el área de regiones planas utilizando integrales definidas. Explica cómo calcular el área bajo una curva, el área entre dos curvas, y el área de una región delimitada por varias curvas. Proporciona ejemplos resueltos paso a paso para ilustrar cada método.
La pena de muerte ha existido desde tiempos antiguos en muchas culturas. Se aplicaba por delitos como homicidio, traición y crímenes sexuales o políticos. En la actualidad, muchos países han abolido la pena de muerte, aunque todavía se aplica en algunos estados de Estados Unidos, partes de Asia y África. El tema es controvertido y hay argumentos a favor y en contra sobre si reduce el crimen o viola los derechos humanos.
Este documento presenta una descripción general de varias matrices estratégicas utilizadas en el análisis estratégico, incluyendo la matriz EFE para evaluar factores externos, la matriz EFI para evaluar factores internos, la matriz MPC para comparar la posición competitiva de una empresa frente a sus competidores, la matriz FODA para generar estrategias aprovechando fortalezas y oportunidades y mitigando debilidades y amenazas, y la matriz IE para definir el tipo de estrategia requerida basado en la posición interna y exter
Este documento habla sobre los principios básicos de enrutamiento y subredes. Explica que los routers envían datos entre redes diferentes usando protocolos de enrutamiento. También describe cómo los protocolos IP requieren una dirección completa que especifique la porción de red y la porción de host, a diferencia de los protocolos IPX. Finalmente, resume los componentes clave de un encabezado de paquete IP.
Este documento describe un programa de formación técnica en programación de software. El programa tiene una duración de 6 meses de formación lectiva, 6 meses de práctica y apunta a desarrollar competencias relacionadas con el análisis de requerimientos, el desarrollo de software y habilidades blandas. La metodología se centra en el aprendizaje basado en proyectos y el uso de tecnologías de la información.
El documento habla sobre el Instituto de Profesionalización y Superación Docente (IPSD) de la Universidad Nacional Autónoma de Honduras (UNAH), el cual es responsable de planificar y certificar programas de desarrollo docente. El IPSD, a través de su Área de Educación Permanente, elaboró un manual para facilitadores del siglo XXI con el objetivo de apoyar a los docentes en su desarrollo profesional. El documento define al facilitador, explica su función y las características y actitudes que debe poseer para lograr los objetivos
Este documento presenta una introducción a la teoría de grafos. Define conceptos fundamentales como grafos, vértices, aristas, grado de vértices, caminos y ciclos. Explica diferentes tipos de grafos como grafos simples, multigrafos, dirigidos y etiquetados. También introduce conceptos como representaciones de grafos mediante matrices de incidencia y adyacencia, e isomorfismo de grafos.
Este documento proporciona información sobre conceptos económicos y de negocios fundamentales como economía, flujo económico, agentes económicos, sectores económicos, empresas y tipos de empresas. También cubre temas como la constitución de una empresa, tipos de sociedades, áreas funcionales de una empresa, administración y organización. El documento contiene 13 preguntas con sus respectivas respuestas sobre estos temas con el propósito de proporcionar evidencia de aprendizaje.
Este documento describe los conceptos y procesos relacionados con la estructuración de cargos, roles y competencias laborales en una organización. Explica cómo identificar los cargos y roles de trabajo según los niveles ocupacionales y las necesidades de la organización, diseñar instrumentos para determinar las competencias laborales requeridas, y elaborar perfiles ocupacionales y profesionales de acuerdo con los roles laborales identificados. También cubre cómo ajustar los perfiles, funciones y competencias laborales a los cambios en las necesidades de la organiz
Este documento presenta información sobre la asignatura de Criminalística I impartida en la Universidad Abierta y a Distancia de México. Consiste en tres unidades temáticas: 1) La criminalística y su historia, 2) El conocimiento científico y la ciencia en la criminalística, y 3) La criminalística en la práctica. El facilitador invita a los estudiantes a participar activamente en las discusiones del foro, entregar las actividades a tiempo y comunicarse con él para cualquier duda.
Este documento presenta un proyecto de formación profesional del SENA para aplicar procedimientos en el desarrollo de las operaciones logísticas apoyado en la sistematización y tecnificación de los procesos. El proyecto busca capacitar a 30 aprendices en temas como el análisis del contexto logístico, la definición de alternativas de sistematización, e implementar estrategias logísticas. Los resultados incluyen diagnósticos, propuestas, informes e implementación de tecnologías en la cadena
El documento describe los conceptos fundamentales del modelo de datos relacional. Explica la estructura de datos relacional, incluyendo las definiciones de relación, dominio, tupla y atributo. También cubre las características generales de integridad de datos como claves, claves candidatas y primarias. El objetivo es que los estudiantes adquieran competencias sobre el modelo relacional y puedan construir consultas SQL y aplicaciones para el acceso y gestión de bases de datos relacionales.
Este documento presenta un proyecto formativo para administrar el soporte técnico de equipos de computo y redes de datos mediante la integración de herramientas tecnológicas. El proyecto busca resolver la necesidad que tienen las Mipymes y centros educativos de compartir recursos administrativos y de gestión para ser más efectivos. El proyecto tendrá una duración de 24 meses y beneficiará a aprendices del SENA, escuelas y Mipymes. Los objetivos son seleccionar herramientas tecnológicas, real
1) O documento apresenta exercícios sobre inequações matriciais lineares (LMI) para síntese de realimentação de estados.
2) É mostrada a teoria para projetar LMIs que garantam o posicionamento dos polos em diferentes regiões do plano complexo, como semiplanos esquerdo e direito e faixa.
3) Também é mostrado como projetar uma LMI para posicionar os polos dentro de um setor cônico no semiplano esquerdo, definido por um fator de amortecimento mínimo.
This document provides a timeline of key events in The Handmaid's Tale, both before and during Offred's assignment as a handmaid. It outlines Offred's backstory including her feminist mother, marriage, job loss, and the loss of her child. It then details her experiences at the Red Center, Commander's house, and involvement with Mayday including ceremonies, relationships with the Commander and Nick, and attending salvaging and particicutions. The timeline concludes with Offred being taken away in a black van and her story becoming part of an academic study of Gilead.
Este documento presenta el Plan Nacional de Desarrollo 2013-2018 de México. Establece que el desarrollo nacional es responsabilidad de todos los actores en el país y debe enfocarse en lograr un México en Paz, Incluyente, con Educación de Calidad, Próspero y con Responsabilidad Global. Identifica barreras como falta de fortaleza institucional, bajo desarrollo social, deficiencias en capital humano e igualdad de oportunidades que limitan el crecimiento. El plan propone estrategias para superar estas barreras y elevar la
El documento trata sobre el origen y desarrollo de la biorremediación. Se observó en la década de 1980 que los microorganismos podían degradar compuestos contaminantes como petróleo y cloroorganicos. Esto dio lugar al surgimiento de la biorremediación como rama de la biotecnología que busca resolver problemas de contaminación mediante microorganismos degradadores.
Este proyecto busca aplicar procedimientos para desarrollar operaciones logísticas apoyadas en la sistematización y tecnificación de procesos en la cadena de abastecimiento. Beneficiará a 30 aprendices formándolos en temas logísticos. El proyecto durará 24 meses e implementará estrategias de sistematización logística analizando el contexto, definiendo alternativas y elaborando informes.
Este documento presenta un proyecto de formación profesional del SENA para desarrollar operaciones logísticas en la cadena de abastecimiento. El proyecto busca aplicar procedimientos logísticos apoyados en la sistematización y tecnificación de procesos relacionados con el flujo de información, materiales y costos. Beneficiará a 30 aprendices durante 24 meses, desarrollando habilidades en temas como análisis logístico, propuestas de sistematización, e implementación de tecnologías para mejorar
El documento habla sobre la seguridad informática. Explica que los incidentes relacionados con la seguridad de sistemas han aumentado con el uso de Internet y la dependencia de las organizaciones en sus sistemas. También describe los objetivos de la seguridad informática, la importancia de gestionar riesgos, y algunas amenazas comunes como errores humanos, intrusiones, desastres y software malicioso.
Este documento trata sobre la seguridad informática. Define la seguridad informática como la disciplina que se enfoca en proteger la infraestructura computacional y la información almacenada mediante el uso de estándares, protocolos, métodos y herramientas. Explica que la seguridad informática incluye tanto el software, hardware y la información. También describe algunas características, ventajas y recomendaciones de la seguridad informática.
Este documento presenta una introducción a los conceptos básicos de seguridad informática. Define términos clave como seguridad, información, riesgo, informática, amenaza, vulnerabilidad e ingeniería social. Explica que la seguridad informática busca minimizar los riesgos asociados con el acceso no autorizado a sistemas y la información. También introduce los principios de evaluación de activos, riesgos y medidas de seguridad aplicables a este campo.
La seguridad informática se encarga de proteger la privacidad y la integridad de la información almacenada en sistemas informáticos. Sus objetivos principales son garantizar la confidencialidad, integridad y disponibilidad de los datos. No existe una técnica que asegure completamente la inviolabilidad de un sistema.
Este documento resume los conceptos clave de la seguridad informática, incluyendo los objetivos de proteger la información, infraestructura y usuarios de amenazas internas y externas como programas maliciosos, usuarios o personal. Describe varios tipos de amenazas como robos, fraudes y sabotajes, y la importancia de la seguridad física para proteger los sistemas de desastres o acciones hostiles. Concluye enfatizando la necesidad de evaluar y controlar permanentemente la seguridad física para disminuir riesgos y mant
Este documento presenta un plan de seguridad para proteger la información en la página web de la empresa Maosoft. En primer lugar, describe las vulnerabilidades, amenazas y riesgos de seguridad de la información. Luego, desarrolla el marco teórico del plan de seguridad e identifica estándares como ISO 27001 e ISO 27002. Finalmente, propone un esquema del plan que incluye medidas de seguridad física para el servidor web, la red y hardware, así como seguridad lógica para la base de datos, acceso y
Este documento describe el diseño de un plan estratégico de seguridad de información para una empresa comercial. Presenta definiciones clave y describe los pasos para realizar una evaluación de riesgos, desarrollar políticas de seguridad e implementar un plan de seguridad a corto, mediano y largo plazo. El objetivo es crear una cultura de seguridad que proteja la información de la empresa de amenazas internas y externas.
Este documento presenta un taller sobre delitos y seguridad informática. Explica que los delitos informáticos son acciones ilegales que dañan ordenadores o redes, y menciona varios tipos como daños, espionaje y estafas. Además, describe cómo se penalizan en Colombia y recomienda técnicas de seguridad como actualizaciones de software y uso de antivirus. El objetivo es educar sobre este tema crecientemente relevante.
Este documento describe el proceso de análisis y gestión de riesgos en sistemas de información. Primero define los riesgos y sus elementos constitutivos como probabilidad, amenazas, vulnerabilidades e impactos. Luego detalla las etapas del proceso de gestión de riesgos, que incluyen identificar los factores de riesgo, analizar su probabilidad, desarrollar estrategias de mitigación y supervisar la gestión de riesgos. El objetivo es proteger la organización y su habilidad de cumplir su misión mediante la administra
Este documento proporciona información sobre seguridad informática. Explica que la seguridad informática protege la información y la infraestructura computacional de una organización. También describe los objetivos de la seguridad informática, los elementos de un análisis de riesgos e información sobre respaldos de datos.
La seguridad informática se enfoca en proteger la infraestructura y la información computacional mediante estándares, protocolos, métodos, reglas, herramientas y leyes. Incluye la protección de software, hardware, datos y cualquier activo valioso de una organización. Las amenazas a la seguridad informática pueden provenir de usuarios, programas maliciosos, errores, intrusos, desastres o ingeniería social. Las legislaciones obligan a las empresas a implementar políticas de seguridad para proteger los datos personales y cumplir con los requis
Este documento presenta una introducción a la ciberseguridad básica dirigida a empresas. En primer lugar, introduce al orador, Jordi García Castillón, y explica brevemente los temas que se abordarán. A continuación, se destacan las personas como el principal factor de riesgo en ciberseguridad debido a errores humanos. Por último, se mencionan algunas de las principales amenazas como la introducción de malware y la interceptación de comunicaciones, y se proponen medidas como mantener todo actualizado y controlar el espacio radioeléctric
La seguridad de la información es importante para proteger datos confidenciales de una organización. Incluye medidas para mantener la confidencialidad, integridad y disponibilidad de la información. Existen amenazas como robos de información, virus informáticos y fallos técnicos que ponen en riesgo los sistemas de información. Es necesario implementar controles como medidas de seguridad físicas y lógicas, políticas de seguridad y capacitación a usuarios para proteger los sistemas y la información de una organización.
El documento describe la ingeniería social y su relación con la seguridad informática. La ingeniería social se define como el acto de obtener información de una persona mediante técnicas psicológicas y de manipulación. Representa una amenaza para la seguridad debido a que los usuarios son el eslabón más débil. Se recomiendan buenas prácticas como evitar proveer información personal a desconocidos o por correo electrónico para reducir el riesgo de ingeniería social.
Este documento describe un caso de delito informático relacionado con el virus Viernes 13. El virus se descubrió en 1987 en computadoras de la Universidad Hebrea de Jerusalén y se propagó rápidamente. Estaba programado para borrar archivos el 13 de mayo de 1988, aniversario importante para Israel. El documento también explica conceptos clave de seguridad informática como amenazas, vulnerabilidades y contramedidas.
Este documento presenta un caso de delito informático relacionado con el virus Viernes 13. El virus fue descubierto en 1987 en computadoras de la Universidad Hebrea de Jerusalén e infectó sistemas en Israel y luego en todo el mundo. El virus estaba programado para borrar archivos el 13 de mayo de 1988. Aunque hubo especulaciones sobre sus motivos políticos, su programador simplemente pudo haber elegido esa fecha por ser considerada de mala suerte. El virus continuó propagándose y evolucionando en años posteriores.
Este documento presenta un resumen de la seguridad informática. Explica que la seguridad informática se enfoca en proteger la infraestructura tecnológica y la información almacenada o transmitida a través de estándares, protocolos, métodos y leyes. Identifica amenazas como usuarios maliciosos, errores, intrusos, desastres y fallos técnicos. También analiza vulnerabilidades como el eslabón más débil que es el usuario, y tipos de amenazas como las internas y externas y por el efecto o medio
El documento habla sobre la importancia de la auditoría de seguridad en sistemas informáticos. Define la auditoría de seguridad como medidas para proteger la confidencialidad, autenticidad e integridad de la información. Explica que existen riesgos como fraudes, falsificaciones y destrucción de información, y que la auditoría evalúa aspectos informáticos, organizacionales, de hardware y software para mitigarlos. También cubre temas como seguridad física, lógica, objetivos y delitos informáticos.
Este documento define la seguridad informática y describe sus objetivos, amenazas, tipos de amenazas y técnicas para asegurar sistemas. La seguridad informática busca proteger la infraestructura, usuarios e información de una organización mediante estándares, protocolos y métodos. Las amenazas pueden ser intencionales o no intencionales y son causadas por usuarios, programas maliciosos, errores, intrusos, desastres o personal interno. Algunas técnicas para asegurar sistemas incluyen el uso de
Este documento trata sobre la seguridad informática. Define la seguridad informática como la disciplina que protege la integridad y privacidad de la información almacenada en sistemas informáticos. Explica que la seguridad informática incluye medidas de software y hardware, y protege contra amenazas internas y externas. También describe algunas características, ventajas y recomendaciones de seguridad informática.
1. FCEA – Cátedra Introducción a la Computación Introducción a Riesgo Informático
Introducción a Riesgo Informático
Leonardo Sena y Simón Mario Tenzer
Agosto 2004
INDICE
Prefacio .......................................................................................................................................................... 1
Introducción ................................................................................................................................................... 1
Definición de riesgos .................................................................................................................................... 2
Administración y análisis de riesgos .......................................................................................................... 4
Proceso de administración del riesgo........................................................................................................ 5
Ejemplo de matriz de riesgos...................................................................................................................... 5
Algunas estadísticas .................................................................................................................................... 6
Controles........................................................................................................................................................ 6
Evaluación de la estructura riesgos/ controles......................................................................................... 9
Conclusiones ................................................................................................................................................. 9
Textos vinculados ....................................................................................................................................... 10
Prefacio
Este documento se relaciona fuertemente con otros documentos de la Cátedra. Las referencias
precisas a estos y otros documentos se señalan oportunamente en el texto. Por ejemplo: Virus
Informático, Seguridad Informática, etc. Todos ellos abordan el tema de riesgos desde distintas
ópticas.
Estos documentos tratan algunas de las amenazas más comunes y explican la manera de minimizar
ciertos riesgos, incluidas herramientas concretas para ello.
Por lo tanto este documento puede ser interpretado como un articulador que permitirá comprender
más cabalmente los conceptos abordados en otros documentos, así como permitirá que estos
conceptos puedan ser aplicados de una mejor manera.
Por la relevancia práctica del tema, este documento está dirigido a las tres opciones del curso de
Introducción a la Computación de Facultad, a saber: a) Administrativo / Contable, b) Economía y
c) Licenciatura en Estadística. Para estas dos últimas, las referencias a paquetes contables y al
informe COSO deben ser ignoradas.
Introducción
1 2
El acelerado crecimiento de la tecnología de la información (TI) en los últimos 15 años ha generado
creciente número de oportunidades así como un creciente número de amenazas.
Un alto nivel de inversión en tecnología, tal cual existe hoy día, produce un efecto multiplicador
importante en caso que dichas amenazas se materialicen, dado que las pérdidas posibles se ven
incrementadas en igual proporción al aumento de la inversión.
1
También se suele referir en plural: Tecnologías de la Información.
2
Es mejor referirse a las Tecnologías de la Información y las Comunicaciones (TIC).
1
2. FCEA – Cátedra Introducción a la Computación Introducción a Riesgo Informático
Pero no solamente ha cambiado el volumen del uso de la tecnología. También ha cambiado la forma
de su utilización. Hoy día el acceso a los recursos de TI no está restringido a los profesionales en
informática, sino que es accesible para la casi totalidad de la población. A su vez, el acceso a las TIC
no se realiza únicamente a los recursos propios, sino que se extiende a otros organismos, sin frontera
física. Esto es gracias a Internet y a la apertura de las redes corporativas, en una magnitud
inimaginable años atrás.
A su vez el grado de complejidad de la tecnología utilizada ha aumentado considerablemente,
tornándola cada vez más difícil de administrar adecuadamente, lo cual incluye el control de riesgo,
para proteger la seguridad.
En este entorno creciente y complejo es que los responsables de gestionar las herramientas
tecnológicas deben poder diagnosticar adecuadamente los riesgos a los cuales se ven expuestos
para poder mitigar de manera oportuna las pérdidas que puedan generase (que como se ha dicho
están relacionadas al monto de la inversión, o pueden superarla).
Anteriormente, los responsables de manejar los recursos de tecnología eran solamente profesionales
de tecnología. Actualmente esto ha cambiado, llevando a profesionales en otras áreas a tener que
comprender razonablemente las herramientas y recursos tecnológicos con los cuales cuentan, dado
que pueden ser responsables tanto por la gestión integral de TI en su organización, como de la
gestión de algún componente específico que soporta el proceso de negocio por el cual ellos son
responsables.
Este texto trata de realizar una aproximación al tema de riesgo informático, con el objetivo de
brindarle al estudiante de Ciencias Económicas, los conceptos básicos necesarios para poder
comenzar a transitar de manera exitosa el camino de la administración de riesgos en el contexto
actual, enmarcado en la actividad profesional del egresado de Facultad.
Definición de riesgos
Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo.
De manera cuantitativa el riesgo es una medida de las posibilidades de incumplimiento o exceso del
objetivo planteado. Así definido, un riesgo conlleva dos tipos de consecuencias: ganancias o
pérdidas.
En lo relacionado con tecnología, generalmente el riesgo se plantea solamente como amenaza,
determinando el grado de exposición a la ocurrencia de una pérdida (por ejemplo el riesgo de perder
datos debido a rotura de disco, virus informáticos, etc.).
La Organización Internacional por la Normalización (ISO) define riesgo tecnológico (Guías para la
gestión de la seguridad de TI /TEC TR 13335-1, 1996) como:
“La probabilidad de que una amenaza se materialice, utilizando vulnerabilidad
existentes de un activo o un grupo de activos, generándole perdidas o daños”.
En la definición anterior se pueden identificar varios elementos que se deben comprender
adecuadamente para, por ende, comprender integralmente el concepto de riesgo manejado.
Estos elementos son: probabilidad, amenazas, vulnerabilidades, activos e impactos.
PROBABILIDAD AMENAZAS
VULNERABILIDADES ACTIVOS
IMPACTOS
2
3. FCEA – Cátedra Introducción a la Computación Introducción a Riesgo Informático
A continuación se analiza cada uno de ellos:
Probabilidad: establecer la probabilidad de ocurrencia puede realizarse de manera
cuantitativa o cualitativa, pero siempre considerando que la medida no debe contemplar la
existencia de ninguna acción paliativa, o sea, debe considerarse en cada caso qué
posibilidades existen que la amenaza se presente independientemente del hecho que sea o
no contrarrestada.
Existen amenazas, como por ejemplo incendios, para las cuales hay información suficiente
(series históricas, compañías de seguros y otros datos) para establecer con razonable
objetividad su probabilidad de ocurrencia. Otras amenazas presentan mayor dificultad en
establecer cuantitativamente la probabilidad. Por ejemplo, el acceso no autorizado a datos;
dónde se hacen estimaciones sobre la base de experiencias. Siguiendo con el ejemplo, para
el personal interno del Centro de Cómputos (CPD), la probabilidad puede ser el 70%, para el
personal de la organización, externo al CPD, del 45%, y para personas de fuera, el 80% (a
través de acceso por Internet).
Amenazas: las amenazas siempre existen y son aquellas acciones que pueden ocasionar
consecuencias negativas en la operativa de la empresa. Comúnmente se indican como
3
amenazas a las fallas, a los ingresos no autorizados, a los virus , uso inadecuado de
4
software , los desastres ambientales como terremotos o inundaciones, accesos no
autorizados, facilidad de acceso a las instalaciones, etc.
Las amenazas pueden ser de carácter físico o lógico, como ser una inundación en el primer
caso, o un acceso no autorizado a una base de datos en el segundo caso.
Vulnerabilidades: son ciertas condiciones inherentes a los activos o presentes en su entorno
que facilitan que las amenazas se materialicen llevan a esos activos a ser vulnerables.
Mediante el uso de las debilidades existentes es que las amenazas logran materializarse, o
sea, las amenazas siempre están presentes, pero sin la identificación de una vulnerabilidad
no podrán ocasionar ningún impacto.
Estas vulnerabilidades son de naturaleza variada. A modo de ejemplo se citan las siguientes:
falta de conocimiento del usuario, tecnología inadecuadamente probada (“testeada”),
transmisión por redes públicas, etc.
Una vulnerabilidad común es contar con antivirus no actualizado, la cual permitirá al virus
actuar y ocasionar daños. Si el antivirus estuviese actualizado la amenaza (virus) si bien
potencialmente seguiría existiendo no podría materializarse.
Activos: Los activos a reconocer son aquellos relacionados con sistemas de información.
Ejemplos típicos son los datos, el hardware, el software, servicios, documentos, edificios y
recursos humanos.
Impactos: las consecuencias de la ocurrencia de las distintas amenazas son siempre
negativas. Las pérdidas generadas pueden ser financieras, no financieras, de corto plazo o de
largo plazo.
Se puede establecer que las más comunes son: la pérdida directa de dinero, la pérdida de
confianza, la reducción de la eficiencia y la pérdida de oportunidades de negocio. Otras no tan
comunes, felizmente, son la pérdida de vidas humanas, afectación del medio ambiente, etc.
3
Ampliar en el documento “Virus informáticos”
4
Ampliar en el documento “Aspectos legales del software”
3
4. FCEA – Cátedra Introducción a la Computación Introducción a Riesgo Informático
Administración y análisis de riesgos
Como herramienta de diagnóstico para poder establecer la exposición real a los riesgos por parte de
una organización se recurre a lo que se llama Análisis de Riesgos. Este análisis tiene como objetivos
identificar los riesgos (mediante la identificación de sus elementos) y lograr establecer el riesgo total
(o exposición bruta al riesgo) y luego el riesgo residual, tanto sea en términos cuantitativos o
cualitativos.
Cuando se refiere al riesgo total, se trata de la combinación de los elementos que lo conforman.
Comúnmente se calcula el valor del impacto promedio por la probabilidad de ocurrencia para cada
amenaza y activo.
De esta manera tendremos, para cada combinación válida de activos y amenazas:
RT (riesgo total) = probabilidad x impacto promedio
Por ejemplo, si la probabilidad de incendios en el año es de 0.0001 y el impacto promedio en términos
monetarios de los activos amenazados por un incendio es $600.000, la exposición al riesgo anual es
de 60 (ver explicación más adelante).
A este cálculo se debe agregar el efecto de medidas mitigantes de las amenazas, generándose el
riesgo residual. El riesgo residual es el riesgo remanente luego de la aplicación de medidas
destinadas a mitigar los riesgos existentes.
Las medidas mencionadas son aquellas que generalmente se conocen como controles. (Se aborda
este tema más adelante.)
De hecho, el riesgo residual es una medida del riesgo total remanente luego de contemplar la
efectividad de las acciones mitigantes existentes. De esta manera, siguiendo con el ejemplo
planteado, si el riesgo total de la amenaza incendio es 60, luego de contratar un seguro sobre la
totalidad de los activos, el riego residual resultante sería igual a cero. Por otra parte si se asegurara
por la mitad del capital, el riesgo residual sería igual a 30.
Obviamente, este ejemplo está simplificado, con el único objetivo de ayudar a comprender los
conceptos vertidos. En la realidad no es nada sencillo cuantificar adecuadamente los riesgos. Por lo
anterior es que usualmente se utiliza un enfoque cualitativo, expresando los riesgos en altos, medios
y bajos, o en niveles similares.
El proceso de análisis descripto genera habitualmente un documento que se conoce como matriz de
riesgo. En este documento de ilustran todos los elementos identificados, sus relaciones y los cálculos
realizados. La sumatoria de los riesgos residuales calculados es la exposición neta total de la
organización a los riesgos.
La afirmación anterior fue efectuada con el supuesto de que el resultado obtenido es positivo. En
caso que el resultado sea negativo se establece que la organización se encuentra cubierta de todos
los riesgos analizados, pero, sin embargo, es ineficiente porque tiene más controles que los
necesarios.
Realizar el análisis de riesgos es indispensable para lograr administrar adecuadamente los mismos.
Administrar el riesgo refiere a gestionar los recursos de la organización (empresa, organismo,
institución, etc., sea pública, privada, etc.) para lograr un nivel de exposición determinado. Este nivel
es generalmente establecido por tipo de activo, permitiendo menor exposición cuanto mas crítico es
ese activo.
El ciclo de administración de riesgo se cierra (luego de efectuar las tareas referentes al análisis) con
la determinación de las acciones a seguir respecto a los riesgos residuales identificados.
Estas acciones pueden ser:
Controlar el riesgo: Se fortalecen los controles existentes o se agregan nuevos.
Eliminar el riesgo: Se elimina el activo relacionado y por ende el riesgo.
Compartir el riesgo: Mediante acuerdos contractuales se traspasa parte del riesgo
. (o su totalidad) a un tercero (un ejemplo son los seguros).
Aceptar el riesgo: Determinar que el nivel de exposición es adecuado.
La opción elegida deberá ser adecuadamente fundamentada y autorizada por el nivel jerárquico
correspondiente sobre la base del riesgo asociado.
4
5. FCEA – Cátedra Introducción a la Computación Introducción a Riesgo Informático
Proceso de administración del riesgo
El proceso de administración de riesgos es un proceso continuo, dado que es necesario evaluar
periódicamente si los riesgos identificados y la exposición a los mismos calculada en etapas
anteriores se mantienen vigentes. La dinámica en la cual se ven inmersa las organizaciones
actualmente demanda este esfuerzo día a día. Es por eso que ante cada nuevo emprendimiento se
realice en tempranas etapas (recomendable luego de fijar los objetivos) un análisis de riesgo del
referido proyecto así como su impacto futuro en la estructura de riesgos de la organización.
1) Identificar los riesgos
5) Aceptación
o rechazo del
2) Cálculo
riesgo residual
exposición al
riesgo
4) Calcular
riesgo residual
3) Identificar
los controles
Ejemplo de matriz de riesgos
En la siguiente hoja se presenta una matriz simplificada, donde:
! En cada fila se presenta una amenaza identificadas
! En la columna de probabilidad se indica cuán probable es que esa amenaza actúe, con
independencia de los controles que existan o que se establezcan. La certeza es el 100% y la
imposibilidad es 0%. Cada porcentaje de cada fila es manejado en forma independiente.
! En las columnas siguientes se indica para cada uno de los activos a proteger cuál es el importe
de la pérdida media estimada que ocasionaría esa amenaza en ese activo. Por ejemplo, por
servidores se entiende las computadoras centrales que soportan las bases de datos, la gestión
del correo electrónico, la red Internet y otros servicios. Las terminales son los puestos de trabajo
computarizados. Los datos son la información de la organización. Instalaciones se refiere a toda
la parte física, incluyendo edificio, mobiliario, componentes de red (cableados, “routers”, “bridges”,
“switches”), etc. Personal son los recursos humanos.
! Los datos precedentes permiten calcular la columna siguiente, riesgo total, el cual sumariza los
productos de la probabilidad de la amenaza por el impacto, de toda la fila.
! A continuación se presenta la efectividad del control actuante, o sea qué nivel del riesgo total se
puede mitigar. Por ejemplo, la amenaza de inundación puede ser mitigada ubicando el Centro de
Cómputos en un piso elevado. Por otra parte, también suele estar bajo tierra, por razones de
seguridad. Otro ejemplo: los accesos no autorizados vía Internet pueden ser mitigados con un
“firewall” (barrera de control de accesos desde fuera y hacia fuera) correctamente configurado.
! Finalmente, en la última columna, se indica cuál es el riesgo residual, que resulta de aplicar la
efectividad del control al riesgo total.
5
6. FCEA – Cátedra Introducción a la Computación Introducción a Riesgo Informático
Grado de impacto (US$miles)
Efec-
Proba- Servi- Termi- Instala- Per- Riesgo tividad Riesgo
Amenazas Datos
bilidad dores nales ciones sonal Total del Residual
control
Incendio 1% 10 5 8 62 41 1,26 100% 0
Inundación 1% 10 1 8 22 8 0,245 90% 0.0245
Accesos no autorizados 20% 1 0 12 0 0 2,6 50% 1.3
Fallas 25% 0,5 0,5 2 0 0 0,75 50% 0.375
Virus 30% 2 3 1 0 0 1,8 80% 0.36
Esta matriz a sido presentada para ejemplificar y no debe ser considerada como la única manera de
instrumentar este tipo de herramientas. Existen abundantes metodologías que abordan el tema de
distintas maneras.
Así es que en este ejemplo se podría haber planteado como filas los activos y como columnas las
amenazas y la misma seguiría siendo válida.
Algunas estadísticas
Se considera de interés presentar algunas Porcentaje
Contingencia
estadísticas, para que se comprenda mejor la
relevancia del tema de riesgo informático. Incendios 17 %
Sigue un cuadro con la distribución de Terrorismo 17 %
contingencias ocurridas, ya hace un cierto
tiempo atrás, en Centros de Cómputo en el Huracanes y terremotos 25 %
5
mundo . Cortes de corriente 9%
Según un estudio de Electronic Data Systems, Errores de software 9%
sobre la capacidad de respuesta de las
empresas de Manhattan, en Nueva York, Inundaciones 7%
frente a al corte de energía eléctrica ocurrido Perforación de tuberías 5%
el 13/08/1990, se tiene: afectó a más de 1000
compañias, con 320 Centros de Cómputos, de Errores de Hardware 4%
los cuales 100 quedaron totalmente paraliza-
Cortes de comunicación 4%
dos. Sólo 25% de estas compañías estaban
preparadas frente al corte de corriente, con Otros factores 3%
capacidad de recuperación del servicio infor-
mático inferior a 24 horas. El 75% restante Total: 100 %
tuvo un promedio de recuperación del servicio
de 3 días!
Es obvia la relevancia de considerar planes de seguridad y para ello conocer el riesgo informático.
Controles
Los procedimientos efectuados para lograr asegurar el cumplimiento de los objetivos son definidos
como controles.
El ayudar al cumplimiento de las metas indica claramente que estos procedimientos tienen un efecto
directo mitigante sobre los riesgos existentes.
Como describimos en el punto anterior estas acciones mitigantes logran actuar sobre el riesgo total
reduciendo la exposición al mismo a una medida menor (riesgo residual).
Por lo establecido anteriormente existe una relación biunívoca entre riesgo y control.
5
Datos de Contingency Planning Research, Inc. Publicado en Sistemas y Tecnologías de la Información para la
Gestión de Ignacio Gil Pechuán, 1996. Mc Graw – Hill. Págs 177 y 178
6
7. FCEA – Cátedra Introducción a la Computación Introducción a Riesgo Informático
Es por ello intentamos cuantificar el riesgo al calcular el Riesgo Total (RT). El valor resultante nos
indica cual debería ser el costo asociado al control que actúa sobre ese riesgo para ser eficiente.
Si bien al final volveremos sobre este tema, volveremos al ejemplo establecido en el punto anterior,
para ilustrar mejor este concepto.
El RT calculado para un activo referente a la amenaza: incendio, es de $60, por lo tanto los costos
anuales asociados al control que debo implantar no deben ser muy superiores a esa cifra, dado que si
lo fueran estaría gastando más en la realidad que lo que eventualmente podría perder.
Los distintos procedimientos de controles pueden ser agrupados (sobre la base de los objetivos
primarios que quieren satisfacer) en tres categorías, aquellos integrantes del sistemas de control
interno, aquellos referidos a brindar seguridad y aquellos destinados a brindar calidad de las
operaciones.
Estas categorías no son excluyentes, o sea existen procedimientos que se repetirán dentro de las tres
categorías.
Como establecíamos anteriormente la agrupación se realiza sobre la base de objetivos de alto nivel
que se quieren satisfacer, o sea estos procedimientos buscan que la información que procesan
cuenten con cierta característica independientemente del objetivo específico por el cual fue creado
(que como establecimos lo determinan los riesgos existentes).
De esta manera establecemos para cada grupo los objetivos a cumplir. Esta definición no es arbitraria
6
sino que se basa en los marcos de referencia más recibidos, a saber COSO , ISO, SAC, etc.:
• Control Interno busca asegurar eficiencia y eficacia de las operaciones, cumplimiento de leyes,
normas y regulaciones, y confiabilidad de la información (básicamente aquella publicable).
• Seguridad 5 busca asegurar la disponibilidad, confidencialidad e integridad de las operaciones.
• La gestión de calidad busca asegurar la adecuada calidad, entrega y costo de las operaciones.
El adecuado cumplimiento de los objetivos anteriormente detallados permitirá alcanzar una razonable
seguridad en el cumplimiento de los objetivos planteados para los diversos procedimientos de TI.
Existen marcos de referencia para una efectiva gestión de los recursos de tecnología, los cuales
establecen los controles mínimos con los cuales debe contar una organización para lograr la misma.
Entre los marcos existentes mencionaremos especialmente el COBIT (Control Objectives for
Information and Related Technology), el cual es un marco de referencia íntegro que incluye distintos
aspectos de la gestión de TI, como ser el de los usuarios (estableciendo una estructura de controles
aplicable a cualquier tipo de organización), el de los administradores de TI (estableciendo los
indicadores de gestión aplicables a cada proceso vinculado a TI para lograr un cumplimiento eficaz y
eficiente de las metas) y el del auditor (estableciendo guías de auditoría para una correcta evaluación
de los procesos vinculados a tecnología).
Este marco de referencia ha sido elegido por el Banco Central del Uruguay para evaluar la gestión de
tecnología de las empresas de intermediación financiera, a partir del año 2003.
COBIT define una serie de procesos relacionados con TI, los cuales agrupa en cuatro dominios
(Planificación y organización, Desarrollo y adquisición, Soporte y Monitoreo), y los cuales estructura
en distintas actividades. Estos procesos son adaptables a las distintas organizaciones y son la base
para cualquiera de los enfoques utilizados para su implementación (usuarios, administradores de TI y
auditores).
6
Ampliar en el documento “Evaluación de paquetes contables”
7
8. FCEA – Cátedra Introducción a la Computación Introducción a Riesgo Informático
C U B O C O B IT
V i s t a d e la
D ire c c ió n
C ri e ri s d e Id f rm a c i n
t o n o ó
P ro ce s o s d e T I
rio da
S is t e m a s d e A p li c a c ió n
d ia ri
i da c u
al du eg
In s t a la c i o n e s
C Fi S
P e rs o n a l
D o m i n io s
T e c n o lo g ía
I
D a to s
V is t a d e
T
P ro ce s o s
lo s
e
d
U s u a rio s
s
o
A c tiv id a d e s V i s t a d e la
rs
G e r e n c ia d e T I
cu
y e s p e c ia lis ta s
e
R
Cuadro del “Cobit Framework” – ISACAF Information System Audit and Control Association Foundation
Los controles aplicables a los procesos vinculados a los procesos de TI se establecen en dos capas.
7
La primera llamada de controles generales , contiene aquellos controles aplicables a los procesos
que afectan a todo el procesamiento de información.
Y la segunda llamada de controles de aplicación4, que contiene los controles contenidos en las
diferentes aplicativos que soportan determinados procesos del negocio y por ende procesan
solamente determinado tipo de información.
8
Los controles generales se dividen en controles de acceso al sistema , estructura organizacional
9 10
adecuada , mantenimiento de la continuidad del procesamiento y controles sobre cambios no
autorizados.
Mientras que los controles de aplicación se dividen en controles de acceso a las aplicativos, controles
11
de ingreso de datos a los aplicativos , controles de procesamiento de los aplicativos8 y controles
sobre rechazos de los mismos.
La relación existente entre estos dos grupos de
controles puede establecerse como piramidal,
donde los controles generales son la base y los
controles de aplicación se distribuyen sobre esta
base hasta el vértice superior de esta pirámide Controles
virtual. de
De lo anterior podemos concluir que una aplicación
inadecuada estructura de controles generales no
puede ser mitigada por una adecuada estructura de
controles de aplicación. Controles Generales
7
Ampliar en el documento “Evaluación de paquetes contables”
8
Ampliar en el documentos “Seguridad Informática”
9
Ampliar en el documento “Administración Informática”
10
Ampliar en el documento “Respaldo y recuperación”
11
Ampliar en el documento “Seguridad Informática”
8
9. FCEA – Cátedra Introducción a la Computación Introducción a Riesgo Informático
Evaluación de la estructura riesgos/ controles
Existen distintos enfoques para poder evaluar la estructura de controles existentes en mi
organización. Sin embargo el enfoque más generalmente aceptado es el que plantea el informe
12
COSO , el cual evalúa esta estructura sobre la base de los riesgos existentes.
Este enfoque establece los siguientes pasos:
• Identificar los procesos de TI (pueden adaptarse los procesos definidos por COBIT)
• Identificar las actividades que componen cada procesos (pueden adaptarse las actividades
definidas por COBIT para cada proceso)
• Identificar los objetivos de cada actividad
• Identificar los riesgos asociados a tales objetivos
• Identificar los controles actuantes relacionados a cada riesgo
• Establecer la exposición al riesgo de cada actividad (ver Administración y análisis de riesgos)
• Analizar lo adecuado de los controles identificados sobre la base de los riesgos identificados
Como se puede observar este enfoque integra los conceptos de análisis de riesgos, evaluación de
controles y evaluación de objetivos operacionales.
De esta manera puedo analizar:
- si los objetivos operacionales se encuentran alineados con los objetivos del negocio
- los riesgos asociados, para lograr una adecuada administración de los mismos
- la estructura de controles existentes, identificando vulnerabilidades o debilidades
El proceso de evaluación se plasmará en una matriz de riesgo donde se podrán visualizar los
elementos identificados y sus relaciones.
Este documento deberá ser actualizado periódicamente para poder continuar siendo vigente y útil
para la organización. Generalmente las actualizaciones son anuales, pero si los procesos normales
de monitoreo existentes identifican cambios estos deben impactar rápidamente en la matriz para
poder tomar decisiones eficaces y oportunas.
Conclusiones
Más allá de todo lo expuesto a lo largo de este documento, no se debe olvidar nunca que los riesgos
cohabitan continuamente con el diario quehacer, siempre están latentes, aún cuando no se los pueda
o no se los quiera identificar.
Es por esto, que, independientemente de las herramientas utilizadas para la administración de los
riesgos, lo más importante es que exista conciencia que la administración del riesgo informático debe
ser una actividad prevista y llevada a cabo al igual que la implementación y el funcionamiento de
sistemas de información.
Recordar que la única manera que evitar un riesgo es eliminar la, o las actividades que lo genera.
Hay actividades que pueden ser eliminadas y otras no, son necesarias. Por lo tanto, en el tema que
se está tratando, es imprescindible la adecuada administración del Riesgo Informático.
12
Ampliar en el documento “Evaluación de paquetes contables”
9
10. FCEA – Cátedra Introducción a la Computación Introducción a Riesgo Informático
Textos vinculados
Todos los textosd están disponibles en la página Web de Facultad, bajo Cátedra Introducción a la
Computación, del Departamentode Métodos Matemático – Cuantitativos. Además, están editadospor
la Oficina de Apuntes del CECEA.
“Aspectos legales, derechos ded autor y piratería de software”, Simón Mario Tenzer, 26 páginas.
“Elementos de Organización de la Función Informática” (Administración Informática), 19 páginas.
“Evaluación de paquetes contables” (sólo para Opción Administrativo / Contable), Beatriz Pereyra,
14 páginas. Incluye “Integración de las actividades de control con la evaluación de riesgos.”
“Respaldo y Recuperación de Datos”, Simón Mario Tenzer y Nelson Pequeño, Julio 2000, 17
páginas.
“Seguridad Informática”, Leonardo Sena Mayans, Julio 2000, 11 páginas.
“Virus informático”, Setiembre 2002, 21 páginas.
10