SlideShare uma empresa Scribd logo

Clase 4 analisis de riesgos

Transferir como PPTX, PDF
U
UPTM

Este documento describe el proceso de análisis de riesgos de seguridad de la información. Explica que el análisis de riesgos evalúa las amenazas a los activos de una organización y estima la probabilidad de que causen daños. Identifica los activos, amenazas y dimensiones de riesgo como confidencialidad e integridad. Además, provee una escala para valorar el impacto de los riesgos en la organización. El objetivo es conocer los riesgos y establecer políticas de seguridad para mitigarlos.

1 de 29
PNF INFORMÁTICA. T4T1 SEGURIDAD INFORMÁTICA
Estimación del grado de exposición de una amenaza sobre uno o más activos causando daños o perjuicios a la Organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.
Las amenazas son eventos que pueden producir daños materiales o inmateriales en los activos. Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño. Hay amenazas naturales (terremotos, inundaciones, ...) y desastres industriales o servicios (contaminación, fallos eléctricos, ...) ante los cuales el sistema de información es víctima. También hay amenazas causadas por las personas, bien errores o bien ataques intencionados.
Las políticas de seguridad son las prácticas, procedimientos o mecanismos que ayudan a reducir el riesgo. Políticas de seguridad
Es un paso importante para implementar la seguridad de la información. Como su nombre lo indica, es un proceso realizado para detectar los riesgos a los cuales están sometidos los activos de una organización, es decir, para saber cuál es la probabilidad de que las amenazas se concrete y mitigar ese riesgo con la implementación de políticas de seguridad.
Gracias a este análisis de riesgos conoceremos el impacto económico de un fallo de seguridad y la probabilidad realista de que este ocurra .
Por ejemplo, imaginemos que una organización tiene un servidor que contiene información definida como de bajo valor.
Servidor
El objetivo principal de este proceso es establecer el marco general de referencia para todo el análisis. Esta etapa incluye la estimación de: Personal técnico: Personas cuya función es recabar la información y establecer las medidas necesarias para cumplir con el análisis. Usuarios: Son aquellas de quienes se recogerá la información dentro de la organización Recursos económicos necesarios para la ejecución. Definir los objetivos del proceso de análisis de riesgos. Tiempo estimado para realizar el análisis y elaborar las políticas. Podría ser con un diagrama de Gantt
Estimación del tiempo: debe ser realizado utilizando el Diagrama de Gantt, definiendo el tiempo necesario que se tomara el equipo en cada etapa o fase.
El entregable de esta etapa será un documento que describa a profundidad los aspectos antes mencionados, para tal fin se ofrece un modelo como ejemplo. Análisis y gestión de riesgos Etapa 1: Planificación Fecha: Objetivos: Personal: Técnico: Usuarios: Programador(es):______ Gerente:_____ Entrevistador(es):______ Secretaria:____ Entre otros:_____ Docentes: ____ Recursos
Se denomina activos a los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección. Conviene repetir que sólo interesan los recursos de los sistemas de información que tienen un valor para la Organización. A título de ejemplo, un servidor donde se encuentre almacenada toda información es un activo de mucho valor. Todo su valor es imputado: • la indisponibilidad, la interrupción del servicio es el valor de disponibilidad que se le imputará al servidor • el acceso no controlado al servidor pone en riesgo el secreto de los datos que presenta. • el coste que suponga la pérdida de confidencialidad de los datos es el valor de confidencialidad que se le imputará al servidor.
Quizás la mejor aproximación para identificar los activos sea preguntar directamente: • ¿Qué activos son fundamentales para que la organización consiga sus objetivos? •¿Hay más activos que se tengan que proteger por obligación ? • ¿Hay activos relacionados con los anteriores? No siempre es evidente identificar un activo. Si por ejemplo se tienen 300 puestos de trabajo o PC, todos idénticos a efectos de configuración y datos que manejan, no es conveniente analizar 300 activos idénticos. Basta analizar un PC genérico que cuya problemática representa la de todos. Agrupar simplifica el análisis. Otras veces se presenta el caso contrario, un servidor central que se encarga de varias funciones: servidor de archivos, de mensajería, de la intranet, del sistema de gestión documental y ... En este caso conviene segregar los servicios prestados y analizarlos por separado.
El entregable de esta etapa es la descripción de cada tipo de activo con su respectiva , función dentro de la organización entre algunos otros aspectos que sean importantes describir. Para ello se puede utilizar el siguiente formato: Análisis de riesgos Etapa 2: Identificación de activos Activo #: _____ Tipo de activo Físico: ____ Lógico:____ Nombre: Descripción:
Proceso sistemático para estimar la magnitud de los riesgos a que está expuesto un Sistema de Información. Y los activos asociados. Para el análisis de los riesgos es necesario cumplir con : que acechan a los distintos componentes pertenecientes o relacionados con el sistema de información (conocidos como ‘activos’). Para la identificación de las amenazas se puede utilizar el siguiente formato: Tipo de amenaza: Tipos de activos: Dimensiones: Descripción: Tipo de activo: Amenazas: Dimensiones: Descripción:
Cuando hablamos de las dimensiones, hacemos memoria y recordamos los principios de la seguridad de la información. Ellas son características o atributos que hacen valioso un activo. Las dimensiones se utilizan para valorar las consecuencias de la materialización de una amenaza. La valoración que recibe un activo en una cierta dimensión es la medida del perjuicio para la organización si el activo se ve dañado en dicha dimensión. Ellas son: Autenticidad Confidencialidad A ellos agregamos : Trazabilidad del servicio Integridad Trazabilidad de los datos. Disponibilidad
Llevándolas a la realidad, las dimensiones en un activo, las podemos definir así: • su autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace o ha hecho cada cosa? Esta valoración es típica de servicios (autenticidad del usuario) y de los datos (autenticidad de quien accede a los datos para escribir o, simplemente, consultar) • su confidencialidad: ¿qué daño causaría que lo conociera quien no debe? Esta valoración es típica de datos. • su integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto? Esta valoración es típica de los datos, que pueden estar manipulados, ser total o parcialmente falsos o, incluso, faltar datos. • su disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo? Esta valoración es típica de los servicios.
Ahora bien, en sistemas dedicados a la administración electrónica o al comercio electrónico, el conocimiento de los usuarios es fundamental para poder prestar el servicio correctamente y poder perseguir los fallos (accidentales o deliberados) que pudieran darse. En estos activos, además de la autenticidad, interesa calibrar la: • la trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se le presta tal servicio? O sea, ¿quién hace qué y cuándo? • la trazabilidad del acceso a los datos: ¿qué daño causaría no saber quién accede a qué datos y qué hace con ellos? Procedimiento que permite determinar la trayectoria de un producto. Organización Internacional para la Estandarización (ISO)
A continuación vemos un ejemplo sobre la determinación de las amenazas: Desastres naturales: Sucesos que pueden ocurrir sin intervención de los seres humanos como causa directa o indirecta. Tipo de amenaza: Fuego Tipos de activos: Computadoras Redes de comunicación Soportes de información Equipamiento auxiliar Instalaciones Dimensiones: Disponibilidad Descripción: Incendio: Posibilidad de que el fuego acabe con los recursos del sistema. En el material de apoyo encontrarán ejemplos sobre las amenazas más comunes y las dimensiones afectadas
Estimación del riesgo es determinante en este proceso ya que ellos por un lado se refieren a la concreción de una amenaza sobre un activo y , por el otro de ellos se desprenderán las políticas necesarias para intentar mitigar esos riesgos. Tomando en cuenta la dimensión en la que se ve afectado un activo, podemos describir el riesgo y el valor que tiene para la organización la pérdida de un activo. Veamos un ejemplo, para cumplir con este objetivo:
Amenaza: Fallas no intencionales causados por los usuarios Tipos de activos: Datos/información Aplicaciones Dimensiones: Disponibilidad Integridad Riesgo : •Pérdida de la información. •Modificación de los datos a ser procesados. •Desconfiguración de alguna aplicación. Valor: 9 Daño grave para la organización, ya que implica pérdida de datos/información importantes para la organización. Descripción: Equivocaciones de las personas cuando usan los servicios, datos, etc. Estimación de los riesgos:
Para cumplir con esta tarea es necesario contar con una escala basada en algunos criterios que evalúen cualitativamente el impacto de un riesgo sobre la organización . Los criterios son tomados por el equipo desarrollador, de acuerdo a la recopilación de información que se realiza antes de llevar a cabo el proyecto y, muy importante el valor que tiene el activo para la organización. En el material de apoyo se describe la escala y los criterios los criterios asociados.
Valor Criterio 10 Muy alto Daño muy grave a la organización 7-9 alto Daño grave 4-6 medio Daño importante 1-3 bajo Daño menor 0 despreciable irrelevante Escala de valoración de riesgos:
El análisis de los riesgos es un paso importante para implementar la seguridad de la información. Se realiza para detectar los riesgos a los cuales están sometidos los activos en una organización, para saber cuál es la probabilidad de que una amenaza se concrete. La relación que existe entre la amenaza y el valor del riesgo, es la condición principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la corrección de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un análisis de riesgos.
A continuación se les hará entrega de un material, contentivo de casos de estudios con el objetivo de que sea analizados y se realicen algunas reflexiones.
Clase 4 analisis de riesgos

Recomendados

Clase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridadClase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridad
Rosaly Mendoza
 
Analisis De Riesgo Sesion 4
Analisis De Riesgo Sesion 4Analisis De Riesgo Sesion 4
Analisis De Riesgo Sesion 4
guest73516b
 
Analisis de Riesgos
Analisis de RiesgosAnalisis de Riesgos
Analisis de Riesgos
Tensor
 
Análisis y Gestión de Riesgos
Análisis y Gestión de RiesgosAnálisis y Gestión de Riesgos
Análisis y Gestión de Riesgos
Tensor
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgos
Rosaly Mendoza
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgos
Universidad Tecnológica
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de Riesgos
Conferencias FIST
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacion
maxol03
 

Recomendados

Clase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridadClase+1+principios+de+la+seguridad
Clase+1+principios+de+la+seguridad
Rosaly Mendoza
 
Analisis De Riesgo Sesion 4
Analisis De Riesgo Sesion 4Analisis De Riesgo Sesion 4
Analisis De Riesgo Sesion 4
guest73516b
 
Analisis de Riesgos
Analisis de RiesgosAnalisis de Riesgos
Analisis de Riesgos
Tensor
 
Análisis y Gestión de Riesgos
Análisis y Gestión de RiesgosAnálisis y Gestión de Riesgos
Análisis y Gestión de Riesgos
Tensor
 
Clase 4 analisis de riesgos
Clase 4 analisis de riesgosClase 4 analisis de riesgos
Clase 4 analisis de riesgos
Rosaly Mendoza
 
Análisis y gestion de riesgos
Análisis y gestion de riesgosAnálisis y gestion de riesgos
Análisis y gestion de riesgos
Universidad Tecnológica
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de Riesgos
Conferencias FIST
 
Los activos de seguridad de la informacion
Los activos de seguridad de la informacionLos activos de seguridad de la informacion
Los activos de seguridad de la informacion
maxol03
 
El computador
El computadorEl computador
El computador
Thalía León
 
Plan estudios11
Plan estudios11Plan estudios11
Plan estudios11
smtuyub
 
Preguntas del módulo de prl
Preguntas del módulo de prlPreguntas del módulo de prl
Preguntas del módulo de prl
lorenarc
 
Exposicion
ExposicionExposicion
Exposicion
gabrielmartinez2191
 
trabajo en equipo jessica
trabajo en equipo jessicatrabajo en equipo jessica
trabajo en equipo jessica
jessica2042
 
Case Catho online
Case Catho onlineCase Catho online
Case Catho online
Claudio Martins Jr.
 
Math 2011
Math 2011Math 2011
Math 2011
Briank Chocolat
 
Qualities that Make a Great Leader
Qualities that Make a Great LeaderQualities that Make a Great Leader
Qualities that Make a Great Leader
Sachin Karpe
 
Fasciculo general matematica
Fasciculo general matematicaFasciculo general matematica
Fasciculo general matematica
miluska aurora rivas huertas
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
Andres Soto Suarez
 
Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790
albertodiego26
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionales
Pablo
 
Establecimiento de niveles de riesgo de las politicas de seguridad
Establecimiento de niveles de riesgo de las politicas de seguridadEstablecimiento de niveles de riesgo de las politicas de seguridad
Establecimiento de niveles de riesgo de las politicas de seguridad
YESENIA CETINA
 
Administración de Riesgos Informáticos
Administración de Riesgos InformáticosAdministración de Riesgos Informáticos
Administración de Riesgos Informáticos
VernicaQuinteroJimne
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgo
carma0101
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
MICHELCARLOSCUEVASSA
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
dsiticansilleria
 
Políticas de Seguridad Informática
Políticas de Seguridad InformáticaPolíticas de Seguridad Informática
Políticas de Seguridad Informática
Robert Rodriguez
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
Any López
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Eli Castro
 
Seguridad informática.docx
Seguridad informática.docxSeguridad informática.docx
Seguridad informática.docx
RubenDarioVillarAqui
 
Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2
macase
 

Mais conteúdo relacionado

Destaque

Preguntas del módulo de prl
Preguntas del módulo de prlPreguntas del módulo de prl
Preguntas del módulo de prl
lorenarc
 

Destaque (9)

El computador
El computadorEl computador
El computador
 
Plan estudios11
Plan estudios11Plan estudios11
Plan estudios11
 
Preguntas del módulo de prl
Preguntas del módulo de prlPreguntas del módulo de prl
Preguntas del módulo de prl
 
Exposicion
ExposicionExposicion
Exposicion
 
trabajo en equipo jessica
trabajo en equipo jessicatrabajo en equipo jessica
trabajo en equipo jessica
 
Case Catho online
Case Catho onlineCase Catho online
Case Catho online
 
Math 2011
Math 2011Math 2011
Math 2011
 
Qualities that Make a Great Leader
Qualities that Make a Great LeaderQualities that Make a Great Leader
Qualities that Make a Great Leader
 
Fasciculo general matematica
Fasciculo general matematicaFasciculo general matematica
Fasciculo general matematica
 

Semelhante a Clase 4 analisis de riesgos

Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionales
Pablo
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgo
carma0101
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
MICHELCARLOSCUEVASSA
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
Eli Castro
 
Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2
macase
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoría
edithua
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridad
mia
 

Semelhante a Clase 4 analisis de riesgos (20)

Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
 
Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790
 
Principales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionalesPrincipales problemas de seguridad en redes corporativas e institucionales
Principales problemas de seguridad en redes corporativas e institucionales
 
Establecimiento de niveles de riesgo de las politicas de seguridad
Establecimiento de niveles de riesgo de las politicas de seguridadEstablecimiento de niveles de riesgo de las politicas de seguridad
Establecimiento de niveles de riesgo de las politicas de seguridad
 
Administración de Riesgos Informáticos
Administración de Riesgos InformáticosAdministración de Riesgos Informáticos
Administración de Riesgos Informáticos
 
Metodologia del riesgo
Metodologia del riesgoMetodologia del riesgo
Metodologia del riesgo
 
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptxMETODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
METODOLOGIA MAGERIT - INFORMATION TECHNOLOGY.pptx
 
Unidad 1: Conceptos Generales
Unidad 1: Conceptos GeneralesUnidad 1: Conceptos Generales
Unidad 1: Conceptos Generales
 
Políticas de Seguridad Informática
Políticas de Seguridad InformáticaPolíticas de Seguridad Informática
Políticas de Seguridad Informática
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 
Seguridad informática.docx
Seguridad informática.docxSeguridad informática.docx
Seguridad informática.docx
 
Segunf ud1 2
Segunf ud1 2Segunf ud1 2
Segunf ud1 2
 
Cap3
Cap3Cap3
Cap3
 
Analisis Y Gestion De Riesgos
Analisis Y Gestion De RiesgosAnalisis Y Gestion De Riesgos
Analisis Y Gestion De Riesgos
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoría
 
Admón del riesgo en informática.
Admón del riesgo en informática.Admón del riesgo en informática.
Admón del riesgo en informática.
 
Sigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdfSigue el camino del análisis de riesgos _ INCIBE.pdf
Sigue el camino del análisis de riesgos _ INCIBE.pdf
 
Gestion de Riesgos
Gestion de RiesgosGestion de Riesgos
Gestion de Riesgos
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridad
 

Mais de UPTM

Actividad final per admin de bases de datos
Actividad final per admin de bases de datosActividad final per admin de bases de datos
Actividad final per admin de bases de datos
UPTM
 
Definición de políticas
Definición de políticasDefinición de políticas
Definición de políticas
UPTM
 
Actividad para la reflexión clase 4
Actividad para la reflexión clase 4Actividad para la reflexión clase 4
Actividad para la reflexión clase 4
UPTM
 
Material de apoyo clase 4 para el análisis de riesgo
Material de apoyo clase 4 para el análisis de riesgoMaterial de apoyo clase 4 para el análisis de riesgo
Material de apoyo clase 4 para el análisis de riesgo
UPTM
 
Clase 3 de cifrado
Clase 3 de cifradoClase 3 de cifrado
Clase 3 de cifrado
UPTM
 
La soberanía y la independencia tecnológica
La soberanía y la independencia tecnológicaLa soberanía y la independencia tecnológica
La soberanía y la independencia tecnológica
UPTM
 
La soberanía y la explotación petrolera
La soberanía y la explotación petroleraLa soberanía y la explotación petrolera
La soberanía y la explotación petrolera
UPTM
 
La dimensión territorial de la soberanía
La dimensión territorial de la soberaníaLa dimensión territorial de la soberanía
La dimensión territorial de la soberanía
UPTM
 
Material de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaMaterial de Seguridad Fisica/Logica
Material de Seguridad Fisica/Logica
UPTM
 
Unidad 1 origen de la cultura
Unidad 1 origen de la culturaUnidad 1 origen de la cultura
Unidad 1 origen de la cultura
UPTM
 
La educación como mecanismo de inclusión social
La educación como mecanismo de inclusión socialLa educación como mecanismo de inclusión social
La educación como mecanismo de inclusión social
UPTM
 
Contexto cultural en la venezuela actual
Contexto cultural en la venezuela actualContexto cultural en la venezuela actual
Contexto cultural en la venezuela actual
UPTM
 
Clase 1
Clase 1Clase 1
Clase 1
UPTM
 
Instalacion y configuracion de postgre sql
Instalacion y configuracion de postgre sqlInstalacion y configuracion de postgre sql
Instalacion y configuracion de postgre sql
UPTM
 
Programacion Lineal
Programacion LinealProgramacion Lineal
Programacion Lineal
UPTM
 
Introduccion a la IO
Introduccion a la IOIntroduccion a la IO
Introduccion a la IO
UPTM
 
Unidad 4: Procesos y Administracion del Procesador
Unidad 4: Procesos y Administracion del ProcesadorUnidad 4: Procesos y Administracion del Procesador
Unidad 4: Procesos y Administracion del Procesador
UPTM
 
Clase 3 gestion entrada salida
Clase 3 gestion entrada salidaClase 3 gestion entrada salida
Clase 3 gestion entrada salida
UPTM
 
Seguridad de los sistemas operativos
Seguridad de los sistemas operativosSeguridad de los sistemas operativos
Seguridad de los sistemas operativos
UPTM
 
Clase 1
Clase 1Clase 1
Clase 1
UPTM
 

Mais de UPTM (20)

Actividad final per admin de bases de datos
Actividad final per admin de bases de datosActividad final per admin de bases de datos
Actividad final per admin de bases de datos
 
Definición de políticas
Definición de políticasDefinición de políticas
Definición de políticas
 
Actividad para la reflexión clase 4
Actividad para la reflexión clase 4Actividad para la reflexión clase 4
Actividad para la reflexión clase 4
 
Material de apoyo clase 4 para el análisis de riesgo
Material de apoyo clase 4 para el análisis de riesgoMaterial de apoyo clase 4 para el análisis de riesgo
Material de apoyo clase 4 para el análisis de riesgo
 
Clase 3 de cifrado
Clase 3 de cifradoClase 3 de cifrado
Clase 3 de cifrado
 
La soberanía y la independencia tecnológica
La soberanía y la independencia tecnológicaLa soberanía y la independencia tecnológica
La soberanía y la independencia tecnológica
 
La soberanía y la explotación petrolera
La soberanía y la explotación petroleraLa soberanía y la explotación petrolera
La soberanía y la explotación petrolera
 
La dimensión territorial de la soberanía
La dimensión territorial de la soberaníaLa dimensión territorial de la soberanía
La dimensión territorial de la soberanía
 
Material de Seguridad Fisica/Logica
Material de Seguridad Fisica/LogicaMaterial de Seguridad Fisica/Logica
Material de Seguridad Fisica/Logica
 
Unidad 1 origen de la cultura
Unidad 1 origen de la culturaUnidad 1 origen de la cultura
Unidad 1 origen de la cultura
 
La educación como mecanismo de inclusión social
La educación como mecanismo de inclusión socialLa educación como mecanismo de inclusión social
La educación como mecanismo de inclusión social
 
Contexto cultural en la venezuela actual
Contexto cultural en la venezuela actualContexto cultural en la venezuela actual
Contexto cultural en la venezuela actual
 
Clase 1
Clase 1Clase 1
Clase 1
 
Instalacion y configuracion de postgre sql
Instalacion y configuracion de postgre sqlInstalacion y configuracion de postgre sql
Instalacion y configuracion de postgre sql
 
Programacion Lineal
Programacion LinealProgramacion Lineal
Programacion Lineal
 
Introduccion a la IO
Introduccion a la IOIntroduccion a la IO
Introduccion a la IO
 
Unidad 4: Procesos y Administracion del Procesador
Unidad 4: Procesos y Administracion del ProcesadorUnidad 4: Procesos y Administracion del Procesador
Unidad 4: Procesos y Administracion del Procesador
 
Clase 3 gestion entrada salida
Clase 3 gestion entrada salidaClase 3 gestion entrada salida
Clase 3 gestion entrada salida
 
Seguridad de los sistemas operativos
Seguridad de los sistemas operativosSeguridad de los sistemas operativos
Seguridad de los sistemas operativos
 
Clase 1
Clase 1Clase 1
Clase 1
 

Clase 4 analisis de riesgos

  • 2. Estimación del grado de exposición de una amenaza sobre uno o más activos causando daños o perjuicios a la Organización. El riesgo indica lo que le podría pasar a los activos si no se protegieran adecuadamente.
  • 3. Las amenazas son eventos que pueden producir daños materiales o inmateriales en los activos. Las amenazas son “cosas que ocurren”. Y, de todo lo que puede ocurrir, interesa lo que puede pasarle a nuestros activos y causar un daño. Hay amenazas naturales (terremotos, inundaciones, ...) y desastres industriales o servicios (contaminación, fallos eléctricos, ...) ante los cuales el sistema de información es víctima. También hay amenazas causadas por las personas, bien errores o bien ataques intencionados.
  • 4. Las políticas de seguridad son las prácticas, procedimientos o mecanismos que ayudan a reducir el riesgo. Políticas de seguridad
  • 5. Es un paso importante para implementar la seguridad de la información. Como su nombre lo indica, es un proceso realizado para detectar los riesgos a los cuales están sometidos los activos de una organización, es decir, para saber cuál es la probabilidad de que las amenazas se concrete y mitigar ese riesgo con la implementación de políticas de seguridad.
  • 6. Gracias a este análisis de riesgos conoceremos el impacto económico de un fallo de seguridad y la probabilidad realista de que este ocurra .
  • 7. Por ejemplo, imaginemos que una organización tiene un servidor que contiene información definida como de bajo valor.
  • 9.
  • 10.
  • 11.
  • 12. El objetivo principal de este proceso es establecer el marco general de referencia para todo el análisis. Esta etapa incluye la estimación de: Personal técnico: Personas cuya función es recabar la información y establecer las medidas necesarias para cumplir con el análisis. Usuarios: Son aquellas de quienes se recogerá la información dentro de la organización Recursos económicos necesarios para la ejecución. Definir los objetivos del proceso de análisis de riesgos. Tiempo estimado para realizar el análisis y elaborar las políticas. Podría ser con un diagrama de Gantt
  • 13. Estimación del tiempo: debe ser realizado utilizando el Diagrama de Gantt, definiendo el tiempo necesario que se tomara el equipo en cada etapa o fase.
  • 14. El entregable de esta etapa será un documento que describa a profundidad los aspectos antes mencionados, para tal fin se ofrece un modelo como ejemplo. Análisis y gestión de riesgos Etapa 1: Planificación Fecha: Objetivos: Personal: Técnico: Usuarios: Programador(es):______ Gerente:_____ Entrevistador(es):______ Secretaria:____ Entre otros:_____ Docentes: ____ Recursos
  • 15. Se denomina activos a los recursos del sistema de información o relacionados con éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección. Conviene repetir que sólo interesan los recursos de los sistemas de información que tienen un valor para la Organización. A título de ejemplo, un servidor donde se encuentre almacenada toda información es un activo de mucho valor. Todo su valor es imputado: • la indisponibilidad, la interrupción del servicio es el valor de disponibilidad que se le imputará al servidor • el acceso no controlado al servidor pone en riesgo el secreto de los datos que presenta. • el coste que suponga la pérdida de confidencialidad de los datos es el valor de confidencialidad que se le imputará al servidor.
  • 16. Quizás la mejor aproximación para identificar los activos sea preguntar directamente: • ¿Qué activos son fundamentales para que la organización consiga sus objetivos? •¿Hay más activos que se tengan que proteger por obligación ? • ¿Hay activos relacionados con los anteriores? No siempre es evidente identificar un activo. Si por ejemplo se tienen 300 puestos de trabajo o PC, todos idénticos a efectos de configuración y datos que manejan, no es conveniente analizar 300 activos idénticos. Basta analizar un PC genérico que cuya problemática representa la de todos. Agrupar simplifica el análisis. Otras veces se presenta el caso contrario, un servidor central que se encarga de varias funciones: servidor de archivos, de mensajería, de la intranet, del sistema de gestión documental y ... En este caso conviene segregar los servicios prestados y analizarlos por separado.
  • 17. El entregable de esta etapa es la descripción de cada tipo de activo con su respectiva , función dentro de la organización entre algunos otros aspectos que sean importantes describir. Para ello se puede utilizar el siguiente formato: Análisis de riesgos Etapa 2: Identificación de activos Activo #: _____ Tipo de activo Físico: ____ Lógico:____ Nombre: Descripción:
  • 18. Proceso sistemático para estimar la magnitud de los riesgos a que está expuesto un Sistema de Información. Y los activos asociados. Para el análisis de los riesgos es necesario cumplir con : que acechan a los distintos componentes pertenecientes o relacionados con el sistema de información (conocidos como ‘activos’). Para la identificación de las amenazas se puede utilizar el siguiente formato: Tipo de amenaza: Tipos de activos: Dimensiones: Descripción: Tipo de activo: Amenazas: Dimensiones: Descripción:
  • 19. Cuando hablamos de las dimensiones, hacemos memoria y recordamos los principios de la seguridad de la información. Ellas son características o atributos que hacen valioso un activo. Las dimensiones se utilizan para valorar las consecuencias de la materialización de una amenaza. La valoración que recibe un activo en una cierta dimensión es la medida del perjuicio para la organización si el activo se ve dañado en dicha dimensión. Ellas son: Autenticidad Confidencialidad A ellos agregamos : Trazabilidad del servicio Integridad Trazabilidad de los datos. Disponibilidad
  • 20. Llevándolas a la realidad, las dimensiones en un activo, las podemos definir así: • su autenticidad: ¿qué perjuicio causaría no saber exactamente quien hace o ha hecho cada cosa? Esta valoración es típica de servicios (autenticidad del usuario) y de los datos (autenticidad de quien accede a los datos para escribir o, simplemente, consultar) • su confidencialidad: ¿qué daño causaría que lo conociera quien no debe? Esta valoración es típica de datos. • su integridad: ¿qué perjuicio causaría que estuviera dañado o corrupto? Esta valoración es típica de los datos, que pueden estar manipulados, ser total o parcialmente falsos o, incluso, faltar datos. • su disponibilidad: ¿qué perjuicio causaría no tenerlo o no poder utilizarlo? Esta valoración es típica de los servicios.
  • 21. Ahora bien, en sistemas dedicados a la administración electrónica o al comercio electrónico, el conocimiento de los usuarios es fundamental para poder prestar el servicio correctamente y poder perseguir los fallos (accidentales o deliberados) que pudieran darse. En estos activos, además de la autenticidad, interesa calibrar la: • la trazabilidad del uso del servicio: ¿qué daño causaría no saber a quién se le presta tal servicio? O sea, ¿quién hace qué y cuándo? • la trazabilidad del acceso a los datos: ¿qué daño causaría no saber quién accede a qué datos y qué hace con ellos? Procedimiento que permite determinar la trayectoria de un producto. Organización Internacional para la Estandarización (ISO)
  • 22. A continuación vemos un ejemplo sobre la determinación de las amenazas: Desastres naturales: Sucesos que pueden ocurrir sin intervención de los seres humanos como causa directa o indirecta. Tipo de amenaza: Fuego Tipos de activos: Computadoras Redes de comunicación Soportes de información Equipamiento auxiliar Instalaciones Dimensiones: Disponibilidad Descripción: Incendio: Posibilidad de que el fuego acabe con los recursos del sistema. En el material de apoyo encontrarán ejemplos sobre las amenazas más comunes y las dimensiones afectadas
  • 23. Estimación del riesgo es determinante en este proceso ya que ellos por un lado se refieren a la concreción de una amenaza sobre un activo y , por el otro de ellos se desprenderán las políticas necesarias para intentar mitigar esos riesgos. Tomando en cuenta la dimensión en la que se ve afectado un activo, podemos describir el riesgo y el valor que tiene para la organización la pérdida de un activo. Veamos un ejemplo, para cumplir con este objetivo:
  • 24. Amenaza: Fallas no intencionales causados por los usuarios Tipos de activos: Datos/información Aplicaciones Dimensiones: Disponibilidad Integridad Riesgo : •Pérdida de la información. •Modificación de los datos a ser procesados. •Desconfiguración de alguna aplicación. Valor: 9 Daño grave para la organización, ya que implica pérdida de datos/información importantes para la organización. Descripción: Equivocaciones de las personas cuando usan los servicios, datos, etc. Estimación de los riesgos:
  • 25. Para cumplir con esta tarea es necesario contar con una escala basada en algunos criterios que evalúen cualitativamente el impacto de un riesgo sobre la organización . Los criterios son tomados por el equipo desarrollador, de acuerdo a la recopilación de información que se realiza antes de llevar a cabo el proyecto y, muy importante el valor que tiene el activo para la organización. En el material de apoyo se describe la escala y los criterios los criterios asociados.
  • 26. Valor Criterio 10 Muy alto Daño muy grave a la organización 7-9 alto Daño grave 4-6 medio Daño importante 1-3 bajo Daño menor 0 despreciable irrelevante Escala de valoración de riesgos:
  • 27. El análisis de los riesgos es un paso importante para implementar la seguridad de la información. Se realiza para detectar los riesgos a los cuales están sometidos los activos en una organización, para saber cuál es la probabilidad de que una amenaza se concrete. La relación que existe entre la amenaza y el valor del riesgo, es la condición principal a tomar en cuenta en el momento de priorizar acciones de seguridad para la corrección de los activos que se desean proteger y deben ser siempre considerados cuando se realiza un análisis de riesgos.
  • 28. A continuación se les hará entrega de un material, contentivo de casos de estudios con el objetivo de que sea analizados y se realicen algunas reflexiones.