Descargar

Administración de Riesgos en Seguridad Informática (página 3)

Enviado por Pablo Turmero


Partes: 1, 2, 3
edu.red Amateurs Hackers Empleados maliciosos Rateros Crackers Vándalos Criminales Espías (gobiernos foráneos) Terroristas Administración de RiesgosSeguridad Informática – Involucrados

edu.red Características o debilidades en el sistema de seguridad que pueden ser explotadas para causar daños o perdidas (facilitan la ocurrencia de una amenaza) Interrupción: un activo se pierde, no está disponible, o no se puede utilizar Intercepción: alguna parte (persona, programa o sistema de computo) no autorizada accede un activo Modificación: una parte no autorizada accede y manipula indebidamente un activo Fabricación: Fabricar e insertar objetos falsos en un sistema computacional Administración de RiesgosSeguridad Informática – Vulnerabilidades

edu.red (Gp:) Hardware (Gp:) Software (Gp:) Datos

(Gp:) Interrupción (Negación del Servicio) (Gp:) Intercepción (Robo)

Actos Involuntarios/Accidentales – Intencionales/Voluntarios que limitan la disponibilidad

Destrucción Agua, Fuego, Problemas de potencia, Alimentos, Ratones, Cenizas, Ataques físicos, Bombas

Robo Administración de RiesgosSeguridad Informática – Vulnerabilidades

edu.red (Gp:) Hardware (Gp:) Software (Gp:) Datos

(Gp:) Interrupción (Borrado) (Gp:) Intercepción (Gp:) Modificación

Borrado accidental o destrucción de programas

Robo – Copia ilícita de programas

Causar fallas o errores Salvar una copia mala de un programa destruyendo una buena, Programas modificados (cambio de bits, de instrucciones – bombas lógicas, efectos colaterales) Caballos de Troya, Virus, Puerta falsa, Fuga de Información

Administración de RiesgosSeguridad Informática – Vulnerabilidades

edu.red Administración de RiesgosSeguridad Informática – Vulnerabilidades (Gp:) Hardware (Gp:) Software (Gp:) Datos

(Gp:) Interrupción (Perdida) (Gp:) Intercepción (Gp:) Modificación (Gp:) Fabricación

Robo

Confidencialidad – líneas derivadas, recipientes de basura, soborno a empleados claves, inferencia, preguntando, compra

Programas maliciosos – Técnica de salami, utilidades del sistema de archivos, facilidades de comunicación defectuosas

Reprocesamiento de datos utilizados, adicionar registros en una base de datos

edu.red 3.1. Valorar Riesgo Inherente 3.2. Determinar Controles Existentes 3.3. Identificar Nivel de Exposición Administración de Riesgos3. Analizar Riesgos Valorar el posible daño que puede ser causado

edu.red Administración de RiesgosCómo valorar riesgo? $ Inherente Nivel de exposición Residual Probabilidad x Impacto Frecuencia x Impacto

edu.red Controles Administrativos

Politícas, Estándares, Procedimientos, Guías, Entrenamiento Controles Técnicos

Acceso lógico, controles, encripción, dispositivos de seguridad, Identificación y autenticación Controles físicos

Protección de instalaciones, Guardias, candados, Monitoreo, Controles ambientales Administración de RiesgosControles en Seguridad

edu.red Medidas protectoras – acciones, dispositivos, procedimientos o técnicas – que reducen una vulnerabilidad Encripción Interc. Interr. Fab. Mod. Integ. Conf. Disp. Administración de la Configuración (Control de Cambios a Programas) Políticas Controles de Hardware Controles Físicos (candados y guardas) Administración de RiesgosControles en Seguridad

edu.red Monitorear y Revisar Valorar prioridades de riesgo Riesgo aceptable? Aceptar SI Considerar factibilidad, costos y beneficios, y niveles de riesgo Evitar Transferir total o parcialmente Reducir consecuencia Reducir probabilidad NO Recomendar estrategias de tratamiento Seleccionar estrategia de tratamiento Preparar planes de tratamiento para reducir, transferir o evitar el riesgo, financiando cuando sea apropiado Evitar Transferir total o parcialmente Reducir consecuencia Reducir probabilidad Riesgo residual aceptable? Retener SI NO VALORAR Y PRIORIZAR RIESGOS IDENTIFICAR OPCIONES DE TRATAMIENTO EVALUAR OPCIONES DE TRATAMIENTO PREPARAR PLANES DE TRATAMIENTO IMPLEMENTAR PLANES DE TRATAMIENTO Riesgo residual no aceptable Porciónretenida Porcióntransferida Asegurar la efectividad costo/beneficio de los controles

edu.red (Gp:) Hardware (Gp:) Software (Gp:) Datos

Variables: Cantidad de involucrados Esfuerzo de Aseguramiento Valor del activo Duración del Activo Esfuerzo de detección de incidentes Impacto en los objetivos del negocio Efectividad de la medida Nivel de sofisticación Facilidad de uso Principio de la Adecuada Protección: Los ítems deben ser protegidos solo hasta que ellos pierden su valor y deben ser protegidos de manera consistente con su valor Administración de RiesgosDónde invertir?

Partes: 1, 2, 3
 Página anterior Volver al principio del trabajoPágina siguiente