SlideShare una empresa de Scribd logo

Introducción a la seguridad informática y gestión de riesgos

Jack Daniel Cáceres Meza
Jack Daniel Cáceres Meza

El documento presenta conceptos clave sobre riesgos en seguridad informática como riesgo, amenaza, vulnerabilidad e impacto. Explica la clasificación de activos y la importancia de valorar la información como un activo valioso. También describe procesos de gestión de riesgos como la evaluación, identificación y análisis de riesgos usando métodos como DREAD.

1 de 30
1 Mg, Ing. Jack Daniel Cáceres Meza, PMP Introducción a la seguridad informática Ingeniería de Sistemas y Seguridad Informática Mg. Ing. Jack Daniel Cáceres Meza, PMP jack_caceres@hotmail.com Sesión 02 Riesgos
2 Mg, Ing. Jack Daniel Cáceres Meza, PMP Controlar riesgos hoy implica controlar pérdidas mañana  La Tecnología de Información (TI) se ha convertido en el corazón de las operaciones de cualquier organización.  Existe una creciente necesidad entre los usuarios de los servicios de Tecnología de Información de implementar estándares y herramientas para ayudar a mitigar el riesgo.
3 Mg, Ing. Jack Daniel Cáceres Meza, PMP Conceptos  Riesgo  Un posible Evento que puede causar daño o pérdidas, o afectar la capacidad de alcanzar los Objetivos. Se mide el Riesgo por la probabilidad de que se manifieste una Amenaza, la Vulnerabilidad del Activo a esa Amenaza, y el Impacto que tendría de ocurrir.  Amenaza  Cualquier cosa que pueda aprovecharse de una Vulnerabilidad. Cualquier causa potencial de un Incidente puede ser considerada como una Amenaza.  Vulnerabilidad  Una debilidad que podría ser explotada por una Amenaza.  Impacto  Una medida del efecto de un Incidente, un Problema o de un Cambio sobre los Procesos del Negocio. El impacto a menudo se basa en cómo se verán afectados los Niveles de Servicio. El impacto y Urgencia se usan para asignar Prioridad. ITIL® V3 Glosario v2.1, 30 de mayo del 2007
4 Mg, Ing. Jack Daniel Cáceres Meza, PMP Conceptos  Activo  Cualquier Recurso o Capacidad. Los activos de un Proveedor de Servicios incluyen cualquier cosa que pueda contribuir con la prestación de un Servicio. Los activos pueden ser de los siguientes tipos: Gestión, Organización, Proceso, Conocimiento, Personal, Información, Aplicaciones, Infraestructura y Capital financiero.  Incidente  Una interrupción no planificada de un Servicio de TI o una reducción de la Calidad de un Servicio de TI. El Fallo de un Elemento de Configuración que no haya impactado aún sobre un Servicio es considerado también un Incidente.  Elemento de Configuración  Cualquier Componente que deba ser gestionado a fin de prestar un Servicio de TI. Los ECs suelen abarcar los Servicios de TI, el hardware, el software, los montajes, el personal, y la documentación formal tal como la documentación de un Proceso y los SLA. ITIL® V3 Glosario v2.1, 30 de mayo del 2007
5 Mg, Ing. Jack Daniel Cáceres Meza, PMP Activos: clasificación general http://www.isotools.org/2013/12/05/en-inventario-de-activos-en-la-implementacion-de-la-norma-iso-27001/
6 Mg, Ing. Jack Daniel Cáceres Meza, PMP Activos de información  Cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización.  Todo medio que almacena, transporta, procesa o genera información y que tiene valor para la institución.  Todos los activos deberían estar claramente identificados, confeccionando y manteniendo un inventario con los más importantes.
7 Mg, Ing. Jack Daniel Cáceres Meza, PMP Información como activo  Aspectos fundamentales:  Confidencialidad  Integridad  Disponibilidad Característica que indica que el activo sólo sea accedido por el personal, procesos o entidades que se encuentran autorizadas y con las autorizaciones adecuadas. Característica que protege la precisión, calidad, veracidad, imparcialidad y completitud del activo. Característica que indica que el activo sea oportuno, es decir que pueda ser consultado y usado por la persona, entidad o proceso cuando lo requiera.
8 Mg, Ing. Jack Daniel Cáceres Meza, PMP Información como activo  Aspectos fundamentales:  Confidencialidad  Integridad  Disponibilidad  ¿Cómo valorar la información?  Total Cost of ownership (TCO)  Valor de los activos hardware  Grado de complejidad técnica  Reconstrucción  Volver a generar la información  Recuperación  Recuperar desde respaldos  Parámetros a considerar  Recovery Time Objective (RTO)  Recovery Point Objective (RPO)  Consecuencias regulatorias  Multas  Daño a la reputación  Calificación
9 Mg, Ing. Jack Daniel Cáceres Meza, PMP Riesgos  Tradicionalmente, las organizaciones han tratado estos riesgos mediantes estrategias de reacción y soluciones puntuales.  La tendencia moderna es utilizar un enfoque integral de manejo de los mismos conocido como “Enterprise Risk Management” (ERM), con el fin de evaluar, administrar y comunicar estos riesgos de una manera integral, basados en los objetivos estratégicos de la organización. avantium.es La experiencia ha demostrado que los elementos que conforman los riesgos y los factores que determinan el impacto de sus consecuencias sobre un sistema, son los mismos que intervienen para todos los riesgos en una organización.
10 Mg, Ing. Jack Daniel Cáceres Meza, PMP Gestión de riesgos  Risk Management es un mecanismo que ayuda a predecir y manejar eventos que puedan evitar que el proyecto culmine en plazo.  Entre las razones detectadas que contribuyen al fracaso de los proyectos se encuentran la poca especificación del alcance en su planteamiento, planificación poco realista en cuanto a plazo, costo y calidad, contar con un equipo de trabajo inapropiado, no cumplir con las expectativas del usuario, un mal manejo de los cambios requeridos durante el desarrollo de la parada y/o carecer de una buena gestión y dirección en la coordinación y manejo de eventos inciertos.  La ISO publica la Guía ISO 73:2009, el vocabulario de gestión de riesgos, que complementa la norma ISO 31000, proporcionando una colección de términos y definiciones relativas a la gestión del riesgo.
11 Mg, Ing. Jack Daniel Cáceres Meza, PMP Costos fundamentales  Cr: valor de los recursos y la información a proteger.  Ca: costo de los medios necesarios para romper las medidas de seguridad implantadas en el sistema.  Cs: costo de las medidas de seguridad.  Es evidente que se debería cumplir que: Ca > Cr > Cs  Es decir, el costo de romper las medidas de seguridad es mayor que el de los posibles beneficios obtenidos.  El costo de las medidas de seguridad es menor que el de los recursos protegidos.  De los tres sumandos Cr es el más difícil de evaluar.  Así  Cr= Valor intrínseco (hardware, software, datos, patentes, ...) + costos derivados de su pérdida, intercepción o modificación (reposición, repetición de experimentos, recuperación, ...)
12 Mg, Ing. Jack Daniel Cáceres Meza, PMP Relación de costos Costo del impacto si se produce un incidente Costo de las medidas de seguridad
13 Mg, Ing. Jack Daniel Cáceres Meza, PMP Gestión del riesgo
14 Mg, Ing. Jack Daniel Cáceres Meza, PMP Norma ISO 31000:2009 – Gestión del riesgo, principios y guías Relación entre los principios, estructura de soporte y gestión del riesgo Proceso de gestión del riesgo (cláusula 6)
15 Mg, Ing. Jack Daniel Cáceres Meza, PMP Estadísticas Riesgo Estadísticas El uso de aplicaciones no autorizadas 78 por ciento de los empleados acceden a correo electrónico personal desde computadoras de negocios. 63 por ciento de los empleados admite haber utilizado una computadora para uso personal todos los días. 70 por ciento de los profesionales de TI creen que el uso de programas no autorizados da como resultado al menos la mitad de los incidentes de sus empresas la pérdida de datos. El mal uso de los ordenadores corporativos Pasar por alto las políticas corporativas de TI y la configuración de seguridad -China: el 42 por ciento -Brasil: el 26 por ciento - India: 20 por ciento Compartir información corporativa sensible fuera de la empresa -Brasil: el 47 por ciento -India: el 27 por ciento -El Reino Unido: el 26 por ciento - Italia: el 22 por ciento - Alemania: el 24 por ciento Comparten dispositivos de trabajo con los no empleados -China: el 43 por ciento -India: el 28 por ciento - En general: 44 por ciento (32 por ciento de los encuestados compartieron dispositivos con compañeros de trabajo, y el 19 por ciento compartió con los que no son empleados de la familia y amigos)
16 Mg, Ing. Jack Daniel Cáceres Meza, PMP Estadísticas Riesgo Estadísticas Acceso físico no autorizado y la Red 39 por ciento de los profesionales de TI, dijo que se han ocupado de acceso a partes no autorizadas de la red de una empresa o establecimiento. El acceso no autorizado y físico a la red fue más frecuente entre las empresas medianas (46 por ciento), pero las pequeñas empresas también tienen frecuentes incidentes (32 por ciento). 22 por ciento de los empleados alemanes no permiten a los empleados a dar vueltas por las oficinas de supervisión Seguridad de los trabajadores a distancia 46 por ciento de los empleados realizan transferencia de archivos entre el trabajo y ordenadores personales cuando trabajan desde casa. Más del 75 por ciento de los empleados no usan un protector de privacidad cuando se trabaja de forma remota en un lugar público. 68 por ciento de la gente no piensa acerca de hablar en voz baja en el teléfono cuando están en lugares públicos fuera de la oficina. 13 por ciento de las personas que trabajan desde casa admiten que no pueden conectarse a sus redes corporativas, por lo que enviar un correo electrónico de negocio a los clientes, socios y compañeros de trabajo a través de su correo electrónico personal.
17 Mg, Ing. Jack Daniel Cáceres Meza, PMP Estadísticas Riesgo Estadísticas El mal uso de contraseñas y procedimiento s de conexión / desconexión 28 por ciento de los empleados en China usan su contraseña de cuentas financieras personales en sus dispositivos de trabajo. 18 por ciento de los empleados comparten sus contraseñas con compañeros de trabajo, 10 por ciento de los empleados en la India, el Reino Unido, Italia y apuntan por escrito la información de acceso y las contraseñas en su escritorio de trabajo, dejando a los datos sensibles accesible si la máquina es robada, incluso si el equipo está desconectado. 5 por ciento de los empleados en el Reino Unido y Francia deja las contraseñas de las cuentas personales y financieras impresas en su escritorio de trabajo.
18 Mg, Ing. Jack Daniel Cáceres Meza, PMP Procesos de la disciplina de administración de riesgos de seguridad (SRMD)  Evaluación  Evaluar y valorar los activos  Identificar los riesgos de seguridad  Analizar y asignar prioridad a los riesgos de seguridad  Seguimiento, planeamiento y programación de riesgos  Desarrollo e implementación  Desarrollar métodos correctivos de seguridad  Probar los métodos correctivos de seguridad  Obtener información de seguridad  Funcionamiento  Volver a valorar los activos nuevos y los que han sufrido cambios, así como los riesgos de seguridad  Estabilizar e implementar medidas preventivas nuevas o que han cambiado
19 Mg, Ing. Jack Daniel Cáceres Meza, PMP Evaluación: evaluar y valorar  Prioridades de activos (escala de 1 a 10) 1. El servidor proporciona una funcionalidad básica pero no tiene un impacto financiero en el negocio. 3. El servidor contiene información importante, pero los datos se pueden recuperar rápida y fácilmente. 5. El servidor contiene datos importantes que llevaría algún tiempo recuperar. 8. El servidor contiene información importante para los objetivos empresariales de la compañía. La pérdida de este equipamiento tendría un efecto considerable en la productividad de todos los usuarios. 10. El servidor tiene un efecto considerable en el negocio de la compañía. La pérdida de este equipamiento resultaría en una desventaja con respecto a la competencia.
20 Mg, Ing. Jack Daniel Cáceres Meza, PMP Evaluación: identificar amenazas de seguridad - STRIDE Tipos de amenazas Ejemplos Suplantación • Falsificar mensajes de correo electrónico • Reproducir paquetes de autenticación AlTeración • Alterar datos durante la transmisión • Cambiar datos en archivos Repudio • Eliminar un archivo esencial y denegar este hecho • Adquirir un producto y negar posteriormente que se ha adquirido DIvulgación de información • Exponer la información en mensajes de error • Exponer el código de los sitios Web Denegación de servicio • Inundar una red con paquetes de sincronización • Inundar una red con paquetes ICMP falsificados Elevación de privilegios • Explotar la saturación de un búfer para obtener privilegios en el Sistema • Obtener privilegios de administrador de forma ilegítima
21 Mg, Ing. Jack Daniel Cáceres Meza, PMP Evaluación: análisis y establecimiento de prioridades de los riesgos de seguridad: DREAD  Daño  Capacidad de Reproducción  Capacidad de Explotación  Usuarios Afectados  Capacidad de Descubrimiento Riesgo_DREAD = (Daño Potencial + Reproductibilidad + Explotabilidad + Usuarios Afectados + Detectabilidad) / 5 Basado en OWASP Guide 2.0.1. Daño potencial: Si una amenaza fuese explotada, ¿Cuánto daño causaría? 0 = Nada 5 = Datos de los usuarios individuales comprometidos o afectados. 10 = Destrucción de datos del sistema comleto Reproductibilidad: ¿Es fácil de reproducir la amenaza a explotar? 0 = Muy difícil o imposible, incluso para los administradores de la aplicación. 5 = Uno o dos pasos necesarios, puede ser necesario un usuario autorizado. 10 = Sólo un navegador web y la barra de direcciones es suficiente, sin necesidad de autenticación. Explotabilidad: Lo que se necesita para aprovechar esta amenaza. 0 = Conocimientos avanzados de programación y de redes, con herramientas de ataque personalizadas o avanzadas. 5 = Malware existente en el Internet, o un exploit fácil de realizar con las herramientas disponibles en la web. 10 = Sólo un navegador web. …
22 Mg, Ing. Jack Daniel Cáceres Meza, PMP Evaluación: seguimiento, diseño y programación de actividades relacionadas con los riesgos de seguridad Directiva de seguridad
23 Mg, Ing. Jack Daniel Cáceres Meza, PMP Desarrollo e implementación: desarrollo de métodos correctivos de seguridad Directiva de seguridad Administración de la configuración Administración de revisiones Supervisión del sistema Auditoría del sistema Directivas operativas Procedimientos operativos
24 Mg, Ing. Jack Daniel Cáceres Meza, PMP Desarrollo e implementación: verificación de los métodos correctivos de seguridad Administración de la configuración Administración de revisiones Supervisión del sistema Auditoría del sistema Directivas operativas Procedimientos operativos Laboratori o de pruebas
25 Mg, Ing. Jack Daniel Cáceres Meza, PMP Desarrollo e implementación: obtención de información de seguridad Laboratori o de pruebas Oficina principal Servicios Internet LAN
26 Mg, Ing. Jack Daniel Cáceres Meza, PMP Funcionamiento: reevaluación de los activos y los riesgos  Los activos nuevos, los que han sufrido cambios y los riesgos de seguridad Oficina principal Servicios Internet LANNuevos servicios Internet Laboratori o de pruebas
27 Mg, Ing. Jack Daniel Cáceres Meza, PMP Funcionamiento: estabilización y desarrollo de medidas preventivas  Medidas preventivas nuevas o con cambios Seguimiento Plan Análisis Control Identificación 1 2 35 4 Declaración de riesgos
28 Mg, Ing. Jack Daniel Cáceres Meza, PMP Estructura de organización de la seguridad  El uso de una solución en niveles:  Aumenta la posibilidad de que se detecten los intrusos  Disminuye la oportunidad de que los intrusos logren su propósito Directivas, procedimientos y concientización Refuerzo del sistema operativo, administración de revisiones, autenticación, HIDS Servidores de seguridad, sistemas de cuarentena en VPN Guardias de seguridad, bloqueos, dispositivos de seguimiento Segmentos de red, IPSec, NIDS Refuerzo de las aplicaciones, antivirus ACL, cifrado Programas de aprendizaje para los usuarios Seguridad física Perímetro Red interna Host Aplicación Datos
29 Mg, Ing. Jack Daniel Cáceres Meza, PMP Caso
Mg. Ing. Jack Daniel Cáceres Meza, PMP jack_caceres@hotmail.com Gracias por su atención ¿Preguntas? Mg. Ing. Jack Daniel Cáceres Meza, PMP jack_caceres@hotmail.com

Recomendados

Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Jack Daniel Cáceres Meza
 
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1Jack Daniel Cáceres Meza
 
Implementaciones de seguridad
Implementaciones de seguridadImplementaciones de seguridad
Implementaciones de seguridadEdmundo Diego Bonini ஃ
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4rodrigonix
 
Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.GwenWake
 
Seguridad de acceso remoto
Seguridad de acceso remotoSeguridad de acceso remoto
Seguridad de acceso remotoGwenWake
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Gabriel Marcos
 

Recomendados

Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1
Curso: Control de acceso y seguridad: 02 Análisis de riesgos 1Jack Daniel Cáceres Meza
 
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1
Curso: Control de acceso y seguridad: 04 Gestión de riesgos 1Jack Daniel Cáceres Meza
 
Implementaciones de seguridad
Implementaciones de seguridadImplementaciones de seguridad
Implementaciones de seguridadEdmundo Diego Bonini ஃ
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4Rodrigonix auditoria informatica-clases-3_4
Rodrigonix auditoria informatica-clases-3_4rodrigonix
 
Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.Plan de contingencia para la empresa atoland S.A.
Plan de contingencia para la empresa atoland S.A.GwenWake
 
Seguridad de acceso remoto
Seguridad de acceso remotoSeguridad de acceso remoto
Seguridad de acceso remotoGwenWake
 
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)
Claves para Gerenciar Seguridad y Minimizar Los Riesgos (2005)Gabriel Marcos
 
Curso: Seguridad de redes e Internet: 07 Aplica los controles que son apropia...
Curso: Seguridad de redes e Internet: 07 Aplica los controles que son apropia...Curso: Seguridad de redes e Internet: 07 Aplica los controles que son apropia...
Curso: Seguridad de redes e Internet: 07 Aplica los controles que son apropia...Jack Daniel Cáceres Meza
 
Centros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaCentros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaPribatua
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
 
Auditoria
AuditoriaAuditoria
AuditoriaArnulfo Gomez
 
Auditoria en redes
Auditoria en redesAuditoria en redes
Auditoria en redesLááûw Rödrígz
 
Cómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la InformaciónCómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la InformaciónData Center Consultores
 
Auditoría de Sistemas por jenny londoño
Auditoría de Sistemas por jenny londoñoAuditoría de Sistemas por jenny londoño
Auditoría de Sistemas por jenny londoñoDIRECTIVA
 
Evidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloEvidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloDavid Moreno Saray
 
Plan de continuidad
Plan de continuidadPlan de continuidad
Plan de continuidadcyberleon95
 
Sistemas Informacion Gerencial
Sistemas Informacion GerencialSistemas Informacion Gerencial
Sistemas Informacion Gerencialguestfb90a7
 
Admón del riesgo en informática.
Admón del riesgo en informática.Admón del riesgo en informática.
Admón del riesgo en informática.carolina tovar
 
Medidas de seguridad en los sistemas informaticos
Medidas de seguridad en los sistemas informaticos Medidas de seguridad en los sistemas informaticos
Medidas de seguridad en los sistemas informaticos Edgar Oswaldo Caballero Montes
 
Perfiles profesionales-seguridad-informatica-practico
Perfiles profesionales-seguridad-informatica-practicoPerfiles profesionales-seguridad-informatica-practico
Perfiles profesionales-seguridad-informatica-practicoJmishell Gomez Yepez
 
Politicas generales de seguridad
Politicas generales de seguridadPoliticas generales de seguridad
Politicas generales de seguridadYESENIA CETINA
 
ESET Security Report y el estudio
ESET Security Report y el estudioESET Security Report y el estudio
ESET Security Report y el estudioEmisor Digital
 
Estrategia: Xelere - IBM Security
Estrategia: Xelere - IBM SecurityEstrategia: Xelere - IBM Security
Estrategia: Xelere - IBM SecurityXelere Seguridad
 
Proyecto integrador de seguridad informatica
Proyecto integrador de seguridad informaticaProyecto integrador de seguridad informatica
Proyecto integrador de seguridad informaticaMaestros Online
 
Evidencia 2
Evidencia 2Evidencia 2
Evidencia 2Henry Gómez
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticosmonica Rubiiano P
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticosolfersaulroseroramirez
 
Tipos de ataques informáticos
Tipos de ataques informáticosTipos de ataques informáticos
Tipos de ataques informáticosPablo Cardenas Catalan
 

Más contenido relacionado

La actualidad más candente

Curso: Seguridad de redes e Internet: 07 Aplica los controles que son apropia...
Curso: Seguridad de redes e Internet: 07 Aplica los controles que son apropia...Curso: Seguridad de redes e Internet: 07 Aplica los controles que son apropia...
Curso: Seguridad de redes e Internet: 07 Aplica los controles que son apropia...Jack Daniel Cáceres Meza
 
Centros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaCentros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaPribatua
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redesSena Cedagro
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]Sistel CONTROL
 
Cómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la InformaciónCómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la InformaciónData Center Consultores
 
Auditoría de Sistemas por jenny londoño
Auditoría de Sistemas por jenny londoñoAuditoría de Sistemas por jenny londoño
Auditoría de Sistemas por jenny londoñoDIRECTIVA
 
Plan de continuidad
Plan de continuidadPlan de continuidad
Plan de continuidadcyberleon95
 
Sistemas Informacion Gerencial
Sistemas Informacion GerencialSistemas Informacion Gerencial
Sistemas Informacion Gerencialguestfb90a7
 
Admón del riesgo en informática.
Admón del riesgo en informática.Admón del riesgo en informática.
Admón del riesgo en informática.carolina tovar
 
Perfiles profesionales-seguridad-informatica-practico
Perfiles profesionales-seguridad-informatica-practicoPerfiles profesionales-seguridad-informatica-practico
Perfiles profesionales-seguridad-informatica-practicoJmishell Gomez Yepez
 
Politicas generales de seguridad
Politicas generales de seguridadPoliticas generales de seguridad
Politicas generales de seguridadYESENIA CETINA
 
ESET Security Report y el estudio
ESET Security Report y el estudioESET Security Report y el estudio
ESET Security Report y el estudioEmisor Digital
 
Estrategia: Xelere - IBM Security
Estrategia: Xelere - IBM SecurityEstrategia: Xelere - IBM Security
Estrategia: Xelere - IBM SecurityXelere Seguridad
 
Proyecto integrador de seguridad informatica
Proyecto integrador de seguridad informaticaProyecto integrador de seguridad informatica
Proyecto integrador de seguridad informaticaMaestros Online
 

La actualidad más candente (19)

Curso: Seguridad de redes e Internet: 07 Aplica los controles que son apropia...
Curso: Seguridad de redes e Internet: 07 Aplica los controles que son apropia...Curso: Seguridad de redes e Internet: 07 Aplica los controles que son apropia...
Curso: Seguridad de redes e Internet: 07 Aplica los controles que son apropia...
 
Centros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada PribatuaCentros de Operaciones de Seguridad - IV Jornada Pribatua
Centros de Operaciones de Seguridad - IV Jornada Pribatua
 
Seguridad de redes
Seguridad de redesSeguridad de redes
Seguridad de redes
 
La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]La (in)seguridad de los sistemas de control de procesos [ES]
La (in)seguridad de los sistemas de control de procesos [ES]
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Auditoria en redes
Auditoria en redesAuditoria en redes
Auditoria en redes
 
Cómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la InformaciónCómo proteger su activo más importante: la Información
Cómo proteger su activo más importante: la Información
 
Auditoría de Sistemas por jenny londoño
Auditoría de Sistemas por jenny londoñoAuditoría de Sistemas por jenny londoño
Auditoría de Sistemas por jenny londoño
 
Evidencia 3 sandra jaramillo
Evidencia 3 sandra jaramilloEvidencia 3 sandra jaramillo
Evidencia 3 sandra jaramillo
 
Plan de continuidad
Plan de continuidadPlan de continuidad
Plan de continuidad
 
Sistemas Informacion Gerencial
Sistemas Informacion GerencialSistemas Informacion Gerencial
Sistemas Informacion Gerencial
 
Admón del riesgo en informática.
Admón del riesgo en informática.Admón del riesgo en informática.
Admón del riesgo en informática.
 
Medidas de seguridad en los sistemas informaticos
Medidas de seguridad en los sistemas informaticos Medidas de seguridad en los sistemas informaticos
Medidas de seguridad en los sistemas informaticos
 
Perfiles profesionales-seguridad-informatica-practico
Perfiles profesionales-seguridad-informatica-practicoPerfiles profesionales-seguridad-informatica-practico
Perfiles profesionales-seguridad-informatica-practico
 
Politicas generales de seguridad
Politicas generales de seguridadPoliticas generales de seguridad
Politicas generales de seguridad
 
ESET Security Report y el estudio
ESET Security Report y el estudioESET Security Report y el estudio
ESET Security Report y el estudio
 
Estrategia: Xelere - IBM Security
Estrategia: Xelere - IBM SecurityEstrategia: Xelere - IBM Security
Estrategia: Xelere - IBM Security
 
Proyecto integrador de seguridad informatica
Proyecto integrador de seguridad informaticaProyecto integrador de seguridad informatica
Proyecto integrador de seguridad informatica
 
Evidencia 2
Evidencia 2Evidencia 2
Evidencia 2
 

Destacado

Tipos de ataques informaticos
Tipos de ataques informaticosTipos de ataques informaticos
Tipos de ataques informaticosOscar Eduardo
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionnyzapersa
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaCarolina Cols
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadessimondavila
 
Guía para análisis de amenazas, vulnerabilidades
Guía para análisis de amenazas, vulnerabilidadesGuía para análisis de amenazas, vulnerabilidades
Guía para análisis de amenazas, vulnerabilidadesPlan International Ecuador
 

Destacado (9)

Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
 
Tipos de ataques informáticos
Tipos de ataques informáticosTipos de ataques informáticos
Tipos de ataques informáticos
 
Tipos de ataques informaticos
Tipos de ataques informaticosTipos de ataques informaticos
Tipos de ataques informaticos
 
12 amenazas a la seguridad de la información
12 amenazas a la seguridad de la información12 amenazas a la seguridad de la información
12 amenazas a la seguridad de la información
 
Curso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacionCurso seguridad en sistemas de informacion
Curso seguridad en sistemas de informacion
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informática
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
 
Guía para análisis de amenazas, vulnerabilidades
Guía para análisis de amenazas, vulnerabilidadesGuía para análisis de amenazas, vulnerabilidades
Guía para análisis de amenazas, vulnerabilidades
 

Similar a Introducción a la seguridad informática y gestión de riesgos

Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2Jack Daniel Cáceres Meza
 
Curso: Auditoría de sistemas: 02 Plan de trabajo
Curso: Auditoría de sistemas: 02 Plan de trabajoCurso: Auditoría de sistemas: 02 Plan de trabajo
Curso: Auditoría de sistemas: 02 Plan de trabajoJack Daniel Cáceres Meza
 
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de SeguridadDavid Barea Bautista
 
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdfSERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdfLuis Contreras Velásquez
 
Portafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIPortafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIOptimizaTI
 
1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacion1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacioncmardones
 
Conceptos básicos de seguridad en redes
Conceptos básicos de seguridad en redesConceptos básicos de seguridad en redes
Conceptos básicos de seguridad en redesYESENIA CETINA
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Jack Daniel Cáceres Meza
 
Presentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaPresentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaservidoresdedic
 
Propuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxPropuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxAlexisMorales838262
 
Tema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaTema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaMariano Galvez
 
segunda-sesion.pptx
segunda-sesion.pptxsegunda-sesion.pptx
segunda-sesion.pptxefsc702
 
Csi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalCsi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalDiseno_proyecto
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 
[Infografía] Encuesta sobre seguridad de información 2014 - Perú
[Infografía] Encuesta sobre seguridad de información 2014 - Perú[Infografía] Encuesta sobre seguridad de información 2014 - Perú
[Infografía] Encuesta sobre seguridad de información 2014 - PerúEY Perú
 

Similar a Introducción a la seguridad informática y gestión de riesgos (20)

Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
Curso: Control de acceso y seguridad: 05 Gestión de riesgos 2
 
Curso: Auditoría de sistemas: 02 Plan de trabajo
Curso: Auditoría de sistemas: 02 Plan de trabajoCurso: Auditoría de sistemas: 02 Plan de trabajo
Curso: Auditoría de sistemas: 02 Plan de trabajo
 
eligesabiamente.pdf
eligesabiamente.pdfeligesabiamente.pdf
eligesabiamente.pdf
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
 
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
5 Preguntas que los Ejecutivos necesitan hacer a sus equipos de Seguridad
 
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdfSERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
 
Portafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIPortafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TI
 
1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacion1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacion
 
Conceptos básicos de seguridad en redes
Conceptos básicos de seguridad en redesConceptos básicos de seguridad en redes
Conceptos básicos de seguridad en redes
 
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
Curso: Seguridad de redes e Internet: 06 Dominios de la ISO/IEC 27002 y otras...
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Presentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaPresentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informatica
 
Propuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxPropuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptx
 
Tema 6 planes de seguridad informatica
Tema 6 planes de seguridad informaticaTema 6 planes de seguridad informatica
Tema 6 planes de seguridad informatica
 
segunda-sesion.pptx
segunda-sesion.pptxsegunda-sesion.pptx
segunda-sesion.pptx
 
Csi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica finalCsi consultoria en_seguridad_informatica final
Csi consultoria en_seguridad_informatica final
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 
Ejemplo de auditoria
Ejemplo de auditoriaEjemplo de auditoria
Ejemplo de auditoria
 
[Infografía] Encuesta sobre seguridad de información 2014 - Perú
[Infografía] Encuesta sobre seguridad de información 2014 - Perú[Infografía] Encuesta sobre seguridad de información 2014 - Perú
[Infografía] Encuesta sobre seguridad de información 2014 - Perú
 

Más de Jack Daniel Cáceres Meza

MINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFINMINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFINJack Daniel Cáceres Meza
 
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Jack Daniel Cáceres Meza
 
UPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposUPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposJack Daniel Cáceres Meza
 
UPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuariosUPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuariosJack Daniel Cáceres Meza
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónJack Daniel Cáceres Meza
 
Esan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -pptEsan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -pptJack Daniel Cáceres Meza
 
Esan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informeEsan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informeJack Daniel Cáceres Meza
 
OFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto softwareOFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto softwareJack Daniel Cáceres Meza
 

Más de Jack Daniel Cáceres Meza (20)

Itil® osa capability model
Itil® osa capability modelItil® osa capability model
Itil® osa capability model
 
Itil® osa capability model
Itil® osa capability modelItil® osa capability model
Itil® osa capability model
 
Cobit(R) 5 Fundamentos
Cobit(R) 5 FundamentosCobit(R) 5 Fundamentos
Cobit(R) 5 Fundamentos
 
ITIL® SLC Fundamentos
ITIL® SLC FundamentosITIL® SLC Fundamentos
ITIL® SLC Fundamentos
 
Ciclo de vida de un servicio de TI
Ciclo de vida de un servicio de TICiclo de vida de un servicio de TI
Ciclo de vida de un servicio de TI
 
MINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFINMINEDU: Resultados de encuestas: Análisis GAP en OFIN
MINEDU: Resultados de encuestas: Análisis GAP en OFIN
 
Producto alcance política-v2
Producto alcance política-v2Producto alcance política-v2
Producto alcance política-v2
 
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
Consultoría y servicios TIC -nueva línea de negocio para la RCP (Red Uno)
 
Curso: Unixware
Curso: UnixwareCurso: Unixware
Curso: Unixware
 
UPC - Soporte: Caracterización de soporte
UPC - Soporte: Caracterización de soporteUPC - Soporte: Caracterización de soporte
UPC - Soporte: Caracterización de soporte
 
UPC - Soporte Norma Pases a producción
UPC - Soporte Norma Pases a producciónUPC - Soporte Norma Pases a producción
UPC - Soporte Norma Pases a producción
 
UPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreoUPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreo
 
UPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposUPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equipos
 
UPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuariosUPC-Soporte: Norma Administración de cuentas de usuarios
UPC-Soporte: Norma Administración de cuentas de usuarios
 
UPC-Soporte: Norma Mantenimiento de equipos
UPC-Soporte: Norma Mantenimiento de equiposUPC-Soporte: Norma Mantenimiento de equipos
UPC-Soporte: Norma Mantenimiento de equipos
 
UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de información
 
Esan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -pptEsan Planeamiento estratégico AFP Horizonte -ppt
Esan Planeamiento estratégico AFP Horizonte -ppt
 
Esan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informeEsan Planeamiento estratégico AFP Horizonte -informe
Esan Planeamiento estratégico AFP Horizonte -informe
 
OFIN-AIT: Norma Colaboradores
OFIN-AIT: Norma ColaboradoresOFIN-AIT: Norma Colaboradores
OFIN-AIT: Norma Colaboradores
 
OFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto softwareOFIN: Proyecto seguridad del producto software
OFIN: Proyecto seguridad del producto software
 

Introducción a la seguridad informática y gestión de riesgos

  • 1. 1 Mg, Ing. Jack Daniel Cáceres Meza, PMP Introducción a la seguridad informática Ingeniería de Sistemas y Seguridad Informática Mg. Ing. Jack Daniel Cáceres Meza, PMP jack_caceres@hotmail.com Sesión 02 Riesgos
  • 2. 2 Mg, Ing. Jack Daniel Cáceres Meza, PMP Controlar riesgos hoy implica controlar pérdidas mañana  La Tecnología de Información (TI) se ha convertido en el corazón de las operaciones de cualquier organización.  Existe una creciente necesidad entre los usuarios de los servicios de Tecnología de Información de implementar estándares y herramientas para ayudar a mitigar el riesgo.
  • 3. 3 Mg, Ing. Jack Daniel Cáceres Meza, PMP Conceptos  Riesgo  Un posible Evento que puede causar daño o pérdidas, o afectar la capacidad de alcanzar los Objetivos. Se mide el Riesgo por la probabilidad de que se manifieste una Amenaza, la Vulnerabilidad del Activo a esa Amenaza, y el Impacto que tendría de ocurrir.  Amenaza  Cualquier cosa que pueda aprovecharse de una Vulnerabilidad. Cualquier causa potencial de un Incidente puede ser considerada como una Amenaza.  Vulnerabilidad  Una debilidad que podría ser explotada por una Amenaza.  Impacto  Una medida del efecto de un Incidente, un Problema o de un Cambio sobre los Procesos del Negocio. El impacto a menudo se basa en cómo se verán afectados los Niveles de Servicio. El impacto y Urgencia se usan para asignar Prioridad. ITIL® V3 Glosario v2.1, 30 de mayo del 2007
  • 4. 4 Mg, Ing. Jack Daniel Cáceres Meza, PMP Conceptos  Activo  Cualquier Recurso o Capacidad. Los activos de un Proveedor de Servicios incluyen cualquier cosa que pueda contribuir con la prestación de un Servicio. Los activos pueden ser de los siguientes tipos: Gestión, Organización, Proceso, Conocimiento, Personal, Información, Aplicaciones, Infraestructura y Capital financiero.  Incidente  Una interrupción no planificada de un Servicio de TI o una reducción de la Calidad de un Servicio de TI. El Fallo de un Elemento de Configuración que no haya impactado aún sobre un Servicio es considerado también un Incidente.  Elemento de Configuración  Cualquier Componente que deba ser gestionado a fin de prestar un Servicio de TI. Los ECs suelen abarcar los Servicios de TI, el hardware, el software, los montajes, el personal, y la documentación formal tal como la documentación de un Proceso y los SLA. ITIL® V3 Glosario v2.1, 30 de mayo del 2007
  • 5. 5 Mg, Ing. Jack Daniel Cáceres Meza, PMP Activos: clasificación general http://www.isotools.org/2013/12/05/en-inventario-de-activos-en-la-implementacion-de-la-norma-iso-27001/
  • 6. 6 Mg, Ing. Jack Daniel Cáceres Meza, PMP Activos de información  Cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización.  Todo medio que almacena, transporta, procesa o genera información y que tiene valor para la institución.  Todos los activos deberían estar claramente identificados, confeccionando y manteniendo un inventario con los más importantes.
  • 7. 7 Mg, Ing. Jack Daniel Cáceres Meza, PMP Información como activo  Aspectos fundamentales:  Confidencialidad  Integridad  Disponibilidad Característica que indica que el activo sólo sea accedido por el personal, procesos o entidades que se encuentran autorizadas y con las autorizaciones adecuadas. Característica que protege la precisión, calidad, veracidad, imparcialidad y completitud del activo. Característica que indica que el activo sea oportuno, es decir que pueda ser consultado y usado por la persona, entidad o proceso cuando lo requiera.
  • 8. 8 Mg, Ing. Jack Daniel Cáceres Meza, PMP Información como activo  Aspectos fundamentales:  Confidencialidad  Integridad  Disponibilidad  ¿Cómo valorar la información?  Total Cost of ownership (TCO)  Valor de los activos hardware  Grado de complejidad técnica  Reconstrucción  Volver a generar la información  Recuperación  Recuperar desde respaldos  Parámetros a considerar  Recovery Time Objective (RTO)  Recovery Point Objective (RPO)  Consecuencias regulatorias  Multas  Daño a la reputación  Calificación
  • 9. 9 Mg, Ing. Jack Daniel Cáceres Meza, PMP Riesgos  Tradicionalmente, las organizaciones han tratado estos riesgos mediantes estrategias de reacción y soluciones puntuales.  La tendencia moderna es utilizar un enfoque integral de manejo de los mismos conocido como “Enterprise Risk Management” (ERM), con el fin de evaluar, administrar y comunicar estos riesgos de una manera integral, basados en los objetivos estratégicos de la organización. avantium.es La experiencia ha demostrado que los elementos que conforman los riesgos y los factores que determinan el impacto de sus consecuencias sobre un sistema, son los mismos que intervienen para todos los riesgos en una organización.
  • 10. 10 Mg, Ing. Jack Daniel Cáceres Meza, PMP Gestión de riesgos  Risk Management es un mecanismo que ayuda a predecir y manejar eventos que puedan evitar que el proyecto culmine en plazo.  Entre las razones detectadas que contribuyen al fracaso de los proyectos se encuentran la poca especificación del alcance en su planteamiento, planificación poco realista en cuanto a plazo, costo y calidad, contar con un equipo de trabajo inapropiado, no cumplir con las expectativas del usuario, un mal manejo de los cambios requeridos durante el desarrollo de la parada y/o carecer de una buena gestión y dirección en la coordinación y manejo de eventos inciertos.  La ISO publica la Guía ISO 73:2009, el vocabulario de gestión de riesgos, que complementa la norma ISO 31000, proporcionando una colección de términos y definiciones relativas a la gestión del riesgo.
  • 11. 11 Mg, Ing. Jack Daniel Cáceres Meza, PMP Costos fundamentales  Cr: valor de los recursos y la información a proteger.  Ca: costo de los medios necesarios para romper las medidas de seguridad implantadas en el sistema.  Cs: costo de las medidas de seguridad.  Es evidente que se debería cumplir que: Ca > Cr > Cs  Es decir, el costo de romper las medidas de seguridad es mayor que el de los posibles beneficios obtenidos.  El costo de las medidas de seguridad es menor que el de los recursos protegidos.  De los tres sumandos Cr es el más difícil de evaluar.  Así  Cr= Valor intrínseco (hardware, software, datos, patentes, ...) + costos derivados de su pérdida, intercepción o modificación (reposición, repetición de experimentos, recuperación, ...)
  • 12. 12 Mg, Ing. Jack Daniel Cáceres Meza, PMP Relación de costos Costo del impacto si se produce un incidente Costo de las medidas de seguridad
  • 13. 13 Mg, Ing. Jack Daniel Cáceres Meza, PMP Gestión del riesgo
  • 14. 14 Mg, Ing. Jack Daniel Cáceres Meza, PMP Norma ISO 31000:2009 – Gestión del riesgo, principios y guías Relación entre los principios, estructura de soporte y gestión del riesgo Proceso de gestión del riesgo (cláusula 6)
  • 15. 15 Mg, Ing. Jack Daniel Cáceres Meza, PMP Estadísticas Riesgo Estadísticas El uso de aplicaciones no autorizadas 78 por ciento de los empleados acceden a correo electrónico personal desde computadoras de negocios. 63 por ciento de los empleados admite haber utilizado una computadora para uso personal todos los días. 70 por ciento de los profesionales de TI creen que el uso de programas no autorizados da como resultado al menos la mitad de los incidentes de sus empresas la pérdida de datos. El mal uso de los ordenadores corporativos Pasar por alto las políticas corporativas de TI y la configuración de seguridad -China: el 42 por ciento -Brasil: el 26 por ciento - India: 20 por ciento Compartir información corporativa sensible fuera de la empresa -Brasil: el 47 por ciento -India: el 27 por ciento -El Reino Unido: el 26 por ciento - Italia: el 22 por ciento - Alemania: el 24 por ciento Comparten dispositivos de trabajo con los no empleados -China: el 43 por ciento -India: el 28 por ciento - En general: 44 por ciento (32 por ciento de los encuestados compartieron dispositivos con compañeros de trabajo, y el 19 por ciento compartió con los que no son empleados de la familia y amigos)
  • 16. 16 Mg, Ing. Jack Daniel Cáceres Meza, PMP Estadísticas Riesgo Estadísticas Acceso físico no autorizado y la Red 39 por ciento de los profesionales de TI, dijo que se han ocupado de acceso a partes no autorizadas de la red de una empresa o establecimiento. El acceso no autorizado y físico a la red fue más frecuente entre las empresas medianas (46 por ciento), pero las pequeñas empresas también tienen frecuentes incidentes (32 por ciento). 22 por ciento de los empleados alemanes no permiten a los empleados a dar vueltas por las oficinas de supervisión Seguridad de los trabajadores a distancia 46 por ciento de los empleados realizan transferencia de archivos entre el trabajo y ordenadores personales cuando trabajan desde casa. Más del 75 por ciento de los empleados no usan un protector de privacidad cuando se trabaja de forma remota en un lugar público. 68 por ciento de la gente no piensa acerca de hablar en voz baja en el teléfono cuando están en lugares públicos fuera de la oficina. 13 por ciento de las personas que trabajan desde casa admiten que no pueden conectarse a sus redes corporativas, por lo que enviar un correo electrónico de negocio a los clientes, socios y compañeros de trabajo a través de su correo electrónico personal.
  • 17. 17 Mg, Ing. Jack Daniel Cáceres Meza, PMP Estadísticas Riesgo Estadísticas El mal uso de contraseñas y procedimiento s de conexión / desconexión 28 por ciento de los empleados en China usan su contraseña de cuentas financieras personales en sus dispositivos de trabajo. 18 por ciento de los empleados comparten sus contraseñas con compañeros de trabajo, 10 por ciento de los empleados en la India, el Reino Unido, Italia y apuntan por escrito la información de acceso y las contraseñas en su escritorio de trabajo, dejando a los datos sensibles accesible si la máquina es robada, incluso si el equipo está desconectado. 5 por ciento de los empleados en el Reino Unido y Francia deja las contraseñas de las cuentas personales y financieras impresas en su escritorio de trabajo.
  • 18. 18 Mg, Ing. Jack Daniel Cáceres Meza, PMP Procesos de la disciplina de administración de riesgos de seguridad (SRMD)  Evaluación  Evaluar y valorar los activos  Identificar los riesgos de seguridad  Analizar y asignar prioridad a los riesgos de seguridad  Seguimiento, planeamiento y programación de riesgos  Desarrollo e implementación  Desarrollar métodos correctivos de seguridad  Probar los métodos correctivos de seguridad  Obtener información de seguridad  Funcionamiento  Volver a valorar los activos nuevos y los que han sufrido cambios, así como los riesgos de seguridad  Estabilizar e implementar medidas preventivas nuevas o que han cambiado
  • 19. 19 Mg, Ing. Jack Daniel Cáceres Meza, PMP Evaluación: evaluar y valorar  Prioridades de activos (escala de 1 a 10) 1. El servidor proporciona una funcionalidad básica pero no tiene un impacto financiero en el negocio. 3. El servidor contiene información importante, pero los datos se pueden recuperar rápida y fácilmente. 5. El servidor contiene datos importantes que llevaría algún tiempo recuperar. 8. El servidor contiene información importante para los objetivos empresariales de la compañía. La pérdida de este equipamiento tendría un efecto considerable en la productividad de todos los usuarios. 10. El servidor tiene un efecto considerable en el negocio de la compañía. La pérdida de este equipamiento resultaría en una desventaja con respecto a la competencia.
  • 20. 20 Mg, Ing. Jack Daniel Cáceres Meza, PMP Evaluación: identificar amenazas de seguridad - STRIDE Tipos de amenazas Ejemplos Suplantación • Falsificar mensajes de correo electrónico • Reproducir paquetes de autenticación AlTeración • Alterar datos durante la transmisión • Cambiar datos en archivos Repudio • Eliminar un archivo esencial y denegar este hecho • Adquirir un producto y negar posteriormente que se ha adquirido DIvulgación de información • Exponer la información en mensajes de error • Exponer el código de los sitios Web Denegación de servicio • Inundar una red con paquetes de sincronización • Inundar una red con paquetes ICMP falsificados Elevación de privilegios • Explotar la saturación de un búfer para obtener privilegios en el Sistema • Obtener privilegios de administrador de forma ilegítima
  • 21. 21 Mg, Ing. Jack Daniel Cáceres Meza, PMP Evaluación: análisis y establecimiento de prioridades de los riesgos de seguridad: DREAD  Daño  Capacidad de Reproducción  Capacidad de Explotación  Usuarios Afectados  Capacidad de Descubrimiento Riesgo_DREAD = (Daño Potencial + Reproductibilidad + Explotabilidad + Usuarios Afectados + Detectabilidad) / 5 Basado en OWASP Guide 2.0.1. Daño potencial: Si una amenaza fuese explotada, ¿Cuánto daño causaría? 0 = Nada 5 = Datos de los usuarios individuales comprometidos o afectados. 10 = Destrucción de datos del sistema comleto Reproductibilidad: ¿Es fácil de reproducir la amenaza a explotar? 0 = Muy difícil o imposible, incluso para los administradores de la aplicación. 5 = Uno o dos pasos necesarios, puede ser necesario un usuario autorizado. 10 = Sólo un navegador web y la barra de direcciones es suficiente, sin necesidad de autenticación. Explotabilidad: Lo que se necesita para aprovechar esta amenaza. 0 = Conocimientos avanzados de programación y de redes, con herramientas de ataque personalizadas o avanzadas. 5 = Malware existente en el Internet, o un exploit fácil de realizar con las herramientas disponibles en la web. 10 = Sólo un navegador web. …
  • 22. 22 Mg, Ing. Jack Daniel Cáceres Meza, PMP Evaluación: seguimiento, diseño y programación de actividades relacionadas con los riesgos de seguridad Directiva de seguridad
  • 23. 23 Mg, Ing. Jack Daniel Cáceres Meza, PMP Desarrollo e implementación: desarrollo de métodos correctivos de seguridad Directiva de seguridad Administración de la configuración Administración de revisiones Supervisión del sistema Auditoría del sistema Directivas operativas Procedimientos operativos
  • 24. 24 Mg, Ing. Jack Daniel Cáceres Meza, PMP Desarrollo e implementación: verificación de los métodos correctivos de seguridad Administración de la configuración Administración de revisiones Supervisión del sistema Auditoría del sistema Directivas operativas Procedimientos operativos Laboratori o de pruebas
  • 25. 25 Mg, Ing. Jack Daniel Cáceres Meza, PMP Desarrollo e implementación: obtención de información de seguridad Laboratori o de pruebas Oficina principal Servicios Internet LAN
  • 26. 26 Mg, Ing. Jack Daniel Cáceres Meza, PMP Funcionamiento: reevaluación de los activos y los riesgos  Los activos nuevos, los que han sufrido cambios y los riesgos de seguridad Oficina principal Servicios Internet LANNuevos servicios Internet Laboratori o de pruebas
  • 27. 27 Mg, Ing. Jack Daniel Cáceres Meza, PMP Funcionamiento: estabilización y desarrollo de medidas preventivas  Medidas preventivas nuevas o con cambios Seguimiento Plan Análisis Control Identificación 1 2 35 4 Declaración de riesgos
  • 28. 28 Mg, Ing. Jack Daniel Cáceres Meza, PMP Estructura de organización de la seguridad  El uso de una solución en niveles:  Aumenta la posibilidad de que se detecten los intrusos  Disminuye la oportunidad de que los intrusos logren su propósito Directivas, procedimientos y concientización Refuerzo del sistema operativo, administración de revisiones, autenticación, HIDS Servidores de seguridad, sistemas de cuarentena en VPN Guardias de seguridad, bloqueos, dispositivos de seguimiento Segmentos de red, IPSec, NIDS Refuerzo de las aplicaciones, antivirus ACL, cifrado Programas de aprendizaje para los usuarios Seguridad física Perímetro Red interna Host Aplicación Datos
  • 29. 29 Mg, Ing. Jack Daniel Cáceres Meza, PMP Caso
  • 30. Mg. Ing. Jack Daniel Cáceres Meza, PMP jack_caceres@hotmail.com Gracias por su atención ¿Preguntas? Mg. Ing. Jack Daniel Cáceres Meza, PMP jack_caceres@hotmail.com