Descargar

Administración de Riesgos en Seguridad Informática (página 2)

Enviado por Pablo Turmero


Partes: 1, 2, 3
edu.red Interés de la Dirección Procesos – Subprocesos Proyectos Unidades Orgánicas Sistemas – Aplicaciones Geográficamente Lista de Objetos a los cuáles se les puede realizar Administración de Riesgos Administración de RiesgosQué calificar – Objetos? Cómo dividir la organización?

edu.red Administración de RiesgosQué calificar – Objetos? Basado en Procesos (Negocio – COBIT) Basado en Sistemas Basado en Proyectos Basado en Infraestructura Planeación estratégica de sistemas Desarrollo de sistemas Evolución o mantenimiento de sistemas Integración de paquetes de software Capacitación Proceso de datos en ambientes de trabajo en batch Atención a requerimientos de usuarios Administrar servicios de terceros (incluye outsourcing) Administración de proyectos

Administración de la infraestructura informática Dirección y control del área de tecnología de información Administración de recursos materiales (equipo, tecnología e instalaciones) Administración de recursos humanos Administración de recursos financieros

edu.red Administración de RiesgosQué calificar – Objetos? Basado en Procesos (Negocio – COBIT) Basado en Sistemas Basado en Proyectos Basado en Infraestructura Para un sistema en particular ProgramasArchivosProcedimientos Eventos – Entrada – Comunicación – Proceso – Salida – Distribución

edu.red Administración de RiesgosQué calificar – Objetos? Basado en Procesos (Negocio – COBIT) Basado en Sistemas Basado en Proyectos Basado en Infraestructura A Productos Análisis al Proceso

edu.red Administración de RiesgosQué calificar – Objetos? Basado en Procesos (Negocio – COBIT) Basado en Sistemas Basado en Proyectos Basado en Infraestructura Datos Sistemas de Información (Aplicaciones) Tecnología (Equipos – SW de base y SMBD – SW de Productividad – Metodologías) Instalaciones Recursos Humanos Elementos de Administración Recursos Financieros Proveedores

edu.red Administración de RiesgosCómo calificar – Criterios? Calidad del Control Interno Competencia de la Dirección (entrenamiento, experiencia, compromiso y juicio) Integridad de la Dirección (códigos de ética) Cambios recientes en procesos (políticas, sistemas, o dirección) Tamaño de la Unidad (Utilidades, Ingresos, Activos) Liquidez de activos Cambio en personal clave Complejidad de operaciones Crecimiento rápido Regulación gubernamental Condición económica deteriorada de una unidad Presión de la Dirección en cumplir objetivos Nivel de moral de los empleados Exposición política / Publicidad adversa Distancia de la oficina principal De Negocio IIA Exposición financiera Pérdida y riesgo potencial Requerimientos de la dirección Cambios importantes en operaciones, programas, sistemas y controles Oportunidades de alcanzar beneficios operativos Capacidades del persona Pérdida financiera Pérdida de imagen Discontinuidad del negocio Incumplimiento de la misión

edu.red (Gp:) Confidencialidad (Gp:) Integridad (Gp:) Disponibilidad

Los activos de un sistema computacional son accedidos solo por personas autorizadasEl tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o aún solo conociendo la existencia de un objeto SECRETO, RESERVA, PRIVACIDAD

“SOLO PERSONAS AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS”

Previene la divulgación no autorizada de datos Administración de RiesgosCómo calificar – Criterios Seguridad Informática

edu.red (Gp:) Confidencialidad (Gp:) Integridad (Gp:) Disponibilidad

Administración de RiesgosCómo calificar – Criterios Seguridad Informática Los activos pueden ser modificados solo por partes autorizadas o solo en formas autorizadasLa modificación incluye escribir, cambiar, cambiar estados, borrar y crear PRECISIÓN, EXACTITUD, NO MODIFICADO, MODIFICADO SOLO EN FORMAS ACEPTABLES, MODIFICADO SOLO POR PERSONAS AUTORIZADAS, MODIFICADO SOLO POR PROCESOS AUTORIZADOS, CONSISTENCIA, CONSISTENCIA INTERNA, SIGNIFICADO Y RESULTADOS CORRECTOSACCIONES AUTORIZADAS, SEPARACIÓN Y PROTECCIÓN DE RECURSOS, Y DETECCIÓN Y CORRECCIÓN DE ERRORES

“CONTROL RIGUROSO DE QUIEN PUEDE ACCEDER CUALES RECURSOS EN QUE FORMAS”

Previene la modificación no autorizada de datos

edu.red (Gp:) Confidencialidad (Gp:) Integridad (Gp:) Disponibilidad

INDEPENDENCIA – TRASLAPO Los activos son accesibles a partes autorizadasAplica a datos y servicios PRESENCIA DE OBJETOS O SERVICIOS EN FORMA UTIL, CAPACIDAD PARA CUMPLIR LAS NECESIDADES DE SERVICIO, TIEMPO DE ESPERA LIMITADO, TIEMPO DE SERVICIO ADECUADO

RESPUESTA OPORTUNA, TOLEREANCIA A FALLAS, UTILIDAD, CONCURRENCIA CONTROLADA (Soporte para acceso simultáneo, administración de concurrencia y acceso exclusivo)

NEGACIÓN O REPUDIACIÓN DEL SERVICIO

Previene la negación de acceso autorizado a datos Administración de RiesgosCómo calificar – Criterios Seguridad Informática

edu.red 2.1. Establecer el Contexto de Administración de Riesgos 2.2. Desarrollar Criterios de Valoración de Riesgos 2.3. Definir la Estructura 2.4. Identificar riesgos 2.5. Identificar causas Administración de Riesgos2. Identificar Riesgos

edu.red (Gp:) Hardware (Gp:) Software (Gp:) Datos

Medios de almacenamiento Redes Acceso Gente clave Administración de RiesgosSeguridad Informática – Activos

edu.red Hardware Servidores, estaciones cliente, dispositivos de comunicación (router, bridge, hub, gateway, modem), dispositivos periférico, cables, fibras Software (o Servicios) Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones, herramientas (administrativas, mantenimiento, backup), software bajo desarrollo Datos De la organización: bases de datos, hojas electrónicas, procesamiento de palabra, e-mail De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria, configuración y parámetros de la red De los usuarios: datos procesados personal, archivos de propiedad del usuario Administración de RiesgosSeguridad en Redes – Activos (Componentes)

edu.red R1 = Acceso no autorizado a la red o sus recursos R2 = Divulgación no autorizada de información R3 = Modificación no autorizada a datos y/o software R4 = Interrupción de las funciones de la red (no disponibilidad de datos o servicios)R4a = incluyendo perdida o degradación de las comunicacionesR4b = incluyendo destrucción de equipos y/o datosR4c = incluyendo negación del servicio R5 = Acciones engañosas en la red (no saber quien) Administración de RiesgosSeguridad en Redes – Riesgos

edu.red Information Security Risks Physical Damage: Fire, water, power loss, vandalism Human Error: Accidental or intentional action Equipment malfunction: Failure of system Inside and outside attacks: Hacking , cracking Misuse of data:Sharing trade secrets Loss od data: Intentional or unintentional loss Application error: Computation errors, input errors

edu.red Causa Evento primario fundamento u orígen de una consecuencia RiesgoConcepto usado para expresar incertidumbre sobre "consecuencias y/o eventos que podrían llegar a impactar el logro de los objetivos" (Gp:) Consecuencia Resultado de un evento o situación expresado cualitativa o cuantitativamente

(Gp:) EventoSituación que podría llegar a ocurrir en un lugar determinado en un momento dado

Administración de Riesgos2. Cómo escribir Riesgos?

edu.red Causa, Evento primario o Situación RiesgoConcepto usado para expresar incertidumbre sobre "consecuencias y/o eventos que podrían llegar a impactar el logro de los objetivos" Evento, Amenaza

Consecuencia, Impacto, Exposicióno Resultado

+ Administración de Riesgos2. Cómo escribir Riesgos?

edu.red Violación de la privacidad Demandas legales Perdida de tecnología propietaria Multas Perdida de vidas humanas Desconcierto en la organización Perdida de confianza Administración de RiesgosSeguridad en redes – Impactos Significativos

edu.red Naturales Accidentales Deliberadas Administración de RiesgosSeguridad Informática – Amenazas

edu.red Origen Amenaza directa Impacto inmediato Terremotos, tormentas eléctricas

Fenómenos astrofísicos

Fenómenos biológicos Interrupción de potencia, temperatura extrema debido a daños en construcciones,

Perturbaciones electromagnéticas

Muerte de personal crítico R4, R4a, R4b

R4, R4a

R4, R4c Administración de RiesgosSeguridad Informática – Amenazas Naturales

edu.red Origen Amenaza directa Impacto inmediato Error del Usuario

Error del Administrador

Fallas de equipos Borrado de archivos, Formateo de drive, mal empleo de equipos, errores de entrada

Configuración inapropiada de parámetros, borrado de información

Problemas técnicos con servidores de archivos, servidores de impresión, dispositivos de comunicación, estaciones cliente, equipo de soporte (cintas de back-up, control de acceso, derrame de café) R3, R4

R1: R2, R3, R4, R5

R3, R4, R4b Administración de RiesgosSeguridad Informática – Amenazas Accidentales

Partes: 1, 2, 3
 Página anterior Volver al principio del trabajoPágina siguiente