SEGURIDAD INFORMATICA. Vulnerabilidades

Transcripción

1 SEGURIDAD INFORMATICA Vulnerabilidades Amenazas Riesgos

2 GESTION DEL RIESGO En los sistemas informáticos se presentan: Vulnerabilidades Amenazas Riesgos La INTEGRIDAD La CONFIDENCIALIDAD La DISPONIBILIDAD

3 GESTION DEL RIESGO QUE ES UNA VULNERABILIDAD? Presentes en los sistemas informáticos

4 VULNERABILIDADES

5 GESTION DEL RIESGO Software Hardware Redes Físicas Naturales Humanas VULNERABILIDADES

6 VULNERABILIDADES Software pirata, sin actualizar o mal configurado

7 VULNERABILIDADES Ausencia de copias de seguridad o copias de seguridad incompletas. Ausencia de seguridad en archivos digitales o archivos físicos confidenciales.

8 VULNERABILIDADES Mala ubicación del centro de computo. Servidores sin UPS Conservación inadecuada de los equipos y falta de configuración de respaldos. Hardware obsoleto Malas conexiones eléctricas

9 VULNERABILIDADES Cuentas de usuario mal configuradas. Desconocimiento y/o falta de socialización de normas o políticas a los usuarios por los responsables de informática.

10 VULNERABILIDADES Dependencia exclusiva de un proveedor de servicio técnico externo. Ausencia de documentación de la operación de las aplicaciones.

11 VULNERABILIDADES Pantalla en un sistema de información sin bloqueo por el usuario o sin protector de pantalla. Cableado sin canaleta ni protección, rack desordenado,

12 GESTION DEL RIESGO QUE SON LAS AMENAZAS Acciones dañinas Acciones con consecuencias negativas A los sistemas informáticos

13 AMENAZAS

14 AMENAZAS Se puede Contraer virus. Se pueden Dañar equipos de computo Se puede acceder sin autorización a los sistemas de información. Se pueden presentar inundaciones. Se pueden presentar interrupciones en el servicio. Pueden Fallar los equipos de computo. Se pueden presentar desastres naturales. Se puede parar la empresa

15 RIESGO Probabilidad de que Una amenaza se materialice utilizando una vulnerabilidad, generando un impacto con perdidas o daños.

16

17 RIESGOS Algunos ejemplos. Perdida de datos Información errónea Daños en hardware Perdidas económicas Perdida de credibilidad. Caída de la Red. Servidor fuera de servicio

18 RIESGOS Destrucción de información confidencial. Fuga de información. Falta de disponibilidad de aplicaciones criticas. Incendios en el centro de computo. Perdida de integridad de los datos.

19 RIESGOS PROBABILIDAD La Probabilidad de ocurrencia de una amenaza, puede ser cualitativa o cuantitativa

20 RIESGOS Impacto consecuencias de la ocurrencia de la amenaza, pueden ser Económicas, no Económicas

21 VALORACIÓN DEL RIESGO Proceso mediante el cual se establece la probabilidad de que ocurran daños o pérdidas materiales y la cuantificación de los mismos. La valoración del riesgo, es el producto de la Probabilidad de Amenaza por el impacto del daño, está agrupado en tres rangos. Bajo Riesgo = 1 6 (Verde) Medio Riesgo = 8 9 (amarillo) Alto Riesgo = (rojo)

22 Matriz valoración del RIESGO (Amenaza vs impacto)

23 GESTION DEL RIESGO IDENTIFICAR CONTROLAR REDUCIR O ELIMINAR

24 GESTION DEL RIESGO No existe una practica para reducir el riesgo a cero (0), solo la administración debe determinar minimizar la ocurrencia del riesgo, utilizando para ello el CONTROL interno.

25 Medidas ante la presencia de riesgos Son los medios utilizados para eliminar o reducir un riesgo. Se clasifican en: MEDIDAS DE SEGURIDAD ACTIVA. MEDIDAS DE SEGURIDAD PASIVA Las medidas de Seguridad Activa son utilizadas para reducir o minimizar la ocurrencia del riesgo y se clasifican en: Medidas Preventivas (antes del incidente) Medidas Detectivas (durante el incidente)

26 Medidas ante la presencia de riesgos medidas preventivas: La autenticación de usuarios (contraseñas) El control de acceso a los datos (permisos o privilegios) La encriptación de datos sensibles o confidenciales. La instalación y correcta configuración de un buen antivirus. Filtrar el tráfico de la red con un firewall La socialización a los usuarios de normas y políticas en informática.

27 Medidas ante la presencia de riesgos La actualización del software (sistemas operativos, aplicaciones, programas) La instalación de hardware redundante en los servidores (discos espejos, fuentes de energía, tarjetas de red. La instalación de una UPS. La validación de los datos. La implementación de sistemas de acceso al CPD.

28 Medidas ante la presencia de riesgos Medidas Detectivas: Sistemas de detección de intrusos Procedimientos para análisis de los log Antivirus Antispyware. Firewalls o cortafuegos

29 Medidas ante la presencia de riesgos MEDIDAS DE SEGURIDAD PASIVAS. Son medidas utilizadas para minimizar el impacto causado cuando se presenta el incidente. También se conocen como medidas correctivas. (se aplican después de ocurrido el incidente). La recuperación de datos usando una copia de seguridad. Ejecución de un plan de contingencias.

30 Procedimiento de gestión de riesgos.

31 Administración del Riesgo Riesgo Residual Es un suceso o circunstancia indeterminada que permanece después de haber ejecutado todos los controles a los riesgos

32 Administración del Riesgo Riesgo Total = Probabilidad de ocurrencia * Impacto promedio Riesgo Total y Riesgo Residual Probabil Grado de Impacto (millones$) Riesgo total Efectivid Riesgo AMENAZA idad Servidores Terminales Datos Instalaciones Personal ad del residual Incendio 1% ,52 100% - Inundacion 0,50% ,51 90% 0,05 Accesos no autorizados 20% ,20 50% 2,60 Fallas 25% ,50 50% 0,75 Virus 30% ,60 80% 0,72

33 Decisión del Riesgo Residual Terminar: abandonar la actividad por excesivamente riesgosa Reducir: fortalecer controles o implementar nuevos controles Aceptar: tomar el riesgo Pasar: contratar, por ejemplo, una póliza de seguro (ejemplo póliza de seguros para amparar ataques cibernéticos)

34 La seguridad es un proceso que nunca termina MIDA Retroalimentar y medir IDENTIFIQUE Identificar riesgos y amenazas CONTROLE Controlar y minimizar las amenazas EVALUE Evaluar el impacto