1. Riesgos , amenazas, vulnerabilidades impacto, amenazas en las TIC’s Integrantes: Huacho Arroyo Victor Cotaquispeurbina César UNIVERSIDAD NACIONAL FEDERICO VILLARREAL Facultad de Ingenieria industrial o de Sistemas
2. Introducción Los tecnología de la información facilitan aspectos de nuestras vidas y las operaciones de negocio, pero es necesario considerar siempre que aquellas tecnologías presentan riesgos que causan que la información se pierda o se modifique perjudicando a los interesados
3. ¿Qué es el riesgo? ACTIVOS Vulnerabilidades Explotan Producen Reducir IMPACTO MEDIDAS DE SEGURIDAD Reducir Reducir AMENAZAS Selección e implantación Generan NIVEL DE RIESGO La probabilidad de que una amenaza se materialice, utilizando vulnerabilidades existentes de un activo o un grupo de activos, generándole perdidas o daños
4. Amenazas Es una acción o situación potencial que tiene la posibilidad de causar daño
5. Ejemplo Ataque de denegación de Servicios Características Recursos o servicios inaccesibles Pérdida de conectividad (consumo de ancho de banda) Consumo de recursos (tiempo del procesador, espacio de disco)
6. SQL Injection Es un método de infiltración de código SQL, a través de las entradas de una aplicación vulnerable para alterar la base de datos Pero , si el usuario ingresa en la caja de texto Alicia'; DROP TABLE usuarios; SELECT * FROM datos WHERE nombre LIKE '% En una base de datos , se ejecutaría así
7. Vulnerabilidad Es un error , defecto o debilidad en el diseño, procedimientos de seguridad de un sistema Según ISO 270005: “Una debilidad de un activo o conjunto de activos que pueden ser explotados por la amenazas”
12. Conclusiones Ningún sistema es totalmente seguro Para una adecuada evaluación de riesgos es necesario comprender las amenazas, vulnerabilidades, probabilidades e impacto actuales Se deben poseer estándares que permitan la consistencia en la evaluación de riesgos
13. Recomendaciones Es valioso compilar una lista de amenazas que están presentes en la organización y usarla como base para todas las actividades de administración del riesgo