SEGURIDAD INFORMATICA. Vulnerabilidades

Documentos relacionados
Informe de Análisis de Riesgos

Práctica fundamentos de seguridad informática

REVISIÓN DE LA OPERACIÓN DE LA INFRAESTRUCTURA TECNOLÓGICA

Seguridad de la información: consideraciones básicas en la informática

Qué es la seguridad informática?

Analítica de Datos: Su importancia en la detección e inteligencia de Ciber-Amenzas

MATRIZ FUNCIONES DEL HARDWARE Y SOFTWARE.

ISO GAP ANALYSIS

Bloque I Criptografía

PROYECTO ISO SISTESEG

Índice. agradecimientos introducción...15

SEGURIDAD EN COMUNICACIONES

Curso Especializado Seguridad Informática GNU/LINUX

Reporte de incidente de seguridad informática.

ANEXO 4: CONTROLES DE LOS ESTÁNDARES ISO/IEC 17799, SECCIONES 5 A 15

Esquema de arquitectura y seguridad.

Objetivos. Saber que es la Seguridad Informática. Identificar aspectos que deben considerarse para el estudio de la Seguridad Informática

ADMINISTRACIÓN DE RECURSOS INFORMÁTICOS SEMANA 9 ESTE DOCUMENTO CONTIENE LA SEMANA 9

Unidad 2 Intro a la Seguridad

Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014

Módulo Seguridad Informática. Objetivos del módulo

Manual de Funciones: Tecnologías de Información y Comunicación - CZS5. ANALISTA ZONAL DE TECNOLOGIAS DE INFORMACION Y COMUNICACION - Servidores

Análisis de riesgos I N S T R U C C I O N E S D E U S O D E L A T A B L A

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

Examen Cisco Online CCNA4 V4.0 - Capitulo 4. By Alen.-

Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014

Seguridad y Competencias Profesionales Tema 2: Introducción a la Seguridad

COBIT 4.1. Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas. By Juan Antonio Vásquez

Tema 1 DESCRIPCIÓN DEL PROBLEMA DE LA SEGURIDAD EN LAS COMUNICACIONES Y EN LA INFORMACIÓN. TIPOS DE ATAQUES

MÓDULO VIII. La Auditoría Informática en el entorno del Compliance. 27 de Marzo de 2017 Curso Superior en Corporate Compliance.

CD INTERACTIVO DE PLANES DE CONTINGENCIA Y SEGURIDAD INFORMÁTICA PARA LA MEDIANA Y GRAN EMPRESA DE EL SALVADOR.

Introducción a la Seguridad Informática

Sistema de Administración de Riesgo Operacional SARO Capacitación gremial a terceros. Vicepresidencia Técnica Dirección Financiera y de Riesgos

Titulación: Ingeniero en Informática. Curso 5º - Cuatrimestral ( ) Javier Jarauta Sánchez José María Sierra Rafael Palacios Hielscher

Dirección y Gerencia

Auditoría y Seguridad Informática

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas)

Principales Aspectos de las Políticas y la Normativa de Seguridad de la Información

UNIVERSIDAD TECNOLÓGICA DE LA SIERRA HIDALGUENSE Registro Plan de Curso

DECÁLOGO DE BUENAS PRÁCTICAS DE CIBERSEGURIDAD PARA PYMES

Resumen Ejecutivo. Inclusión de los sistemas de información de una organización dentro del Esquema Nacional de

PATRICIA LOPEZ. Responsable de Auditoría Informática. Centro de Gestión de Incidentes Informáticos CGII.

SEGURIDAD INFORMATICA CORPORATIVA

Entre los servicios que ofrecemos están los siguientes. Eliminación de virus.

Plan de Contingencia Sistema de Matrícula

Ventajas y desventajas del modo de entrevista CAPI

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA PROVEEDORES. Pag. 1

Política de Seguridad Informática

Seguridad. Informática

Este dominio consta de 13 procesos que se describen a continuación.

Capitulo 2. Políticas, Planes y Procedimientos de seguridad.

SOLICITUD DE SEGURO - CRÉDITO COMERCIAL PARA EMISORES DE CRÉDITO ANEXO 1. - FORMULARIO 1. EVALUACIÓN CUALITATIVA

Antes de imprimir este documento piense en el medio ambiente!

COBIT 4.1. Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas. By Juan Antonio Vásquez

ROBERTO DIAZGRANADOS DIAZ

UC0978_2 Gestionar el archivo en soporte convencional e informático

ESPECIFICACIONES TECNICAS, PROCEDIMIENTO DE RESPALDO DE INFORMACION

Seguridad de la Información y las Telecomunicaciones

Principios de la Seguridad Informática

Transcripción:

SEGURIDAD INFORMATICA Vulnerabilidades Amenazas Riesgos

GESTION DEL RIESGO En los sistemas informáticos se presentan: Vulnerabilidades Amenazas Riesgos La INTEGRIDAD La CONFIDENCIALIDAD La DISPONIBILIDAD

GESTION DEL RIESGO QUE ES UNA VULNERABILIDAD? Presentes en los sistemas informáticos

VULNERABILIDADES

GESTION DEL RIESGO Software Hardware Redes Físicas Naturales Humanas VULNERABILIDADES

VULNERABILIDADES Software pirata, sin actualizar o mal configurado

VULNERABILIDADES Ausencia de copias de seguridad o copias de seguridad incompletas. Ausencia de seguridad en archivos digitales o archivos físicos confidenciales.

VULNERABILIDADES Mala ubicación del centro de computo. Servidores sin UPS Conservación inadecuada de los equipos y falta de configuración de respaldos. Hardware obsoleto Malas conexiones eléctricas

VULNERABILIDADES Cuentas de usuario mal configuradas. Desconocimiento y/o falta de socialización de normas o políticas a los usuarios por los responsables de informática.

VULNERABILIDADES Dependencia exclusiva de un proveedor de servicio técnico externo. Ausencia de documentación de la operación de las aplicaciones.

VULNERABILIDADES Pantalla en un sistema de información sin bloqueo por el usuario o sin protector de pantalla. Cableado sin canaleta ni protección, rack desordenado,

GESTION DEL RIESGO QUE SON LAS AMENAZAS Acciones dañinas Acciones con consecuencias negativas A los sistemas informáticos

AMENAZAS

AMENAZAS Se puede Contraer virus. Se pueden Dañar equipos de computo Se puede acceder sin autorización a los sistemas de información. Se pueden presentar inundaciones. Se pueden presentar interrupciones en el servicio. Pueden Fallar los equipos de computo. Se pueden presentar desastres naturales. Se puede parar la empresa

RIESGO Probabilidad de que Una amenaza se materialice utilizando una vulnerabilidad, generando un impacto con perdidas o daños.

RIESGOS Algunos ejemplos. Perdida de datos Información errónea Daños en hardware Perdidas económicas Perdida de credibilidad. Caída de la Red. Servidor fuera de servicio

RIESGOS Destrucción de información confidencial. Fuga de información. Falta de disponibilidad de aplicaciones criticas. Incendios en el centro de computo. Perdida de integridad de los datos.

RIESGOS PROBABILIDAD La Probabilidad de ocurrencia de una amenaza, puede ser cualitativa o cuantitativa

RIESGOS Impacto consecuencias de la ocurrencia de la amenaza, pueden ser Económicas, no Económicas

VALORACIÓN DEL RIESGO Proceso mediante el cual se establece la probabilidad de que ocurran daños o pérdidas materiales y la cuantificación de los mismos. La valoración del riesgo, es el producto de la Probabilidad de Amenaza por el impacto del daño, está agrupado en tres rangos. Bajo Riesgo = 1 6 (Verde) Medio Riesgo = 8 9 (amarillo) Alto Riesgo = 12 16 (rojo)

Matriz valoración del RIESGO (Amenaza vs impacto)

GESTION DEL RIESGO IDENTIFICAR CONTROLAR REDUCIR O ELIMINAR

GESTION DEL RIESGO No existe una practica para reducir el riesgo a cero (0), solo la administración debe determinar minimizar la ocurrencia del riesgo, utilizando para ello el CONTROL interno.

Medidas ante la presencia de riesgos Son los medios utilizados para eliminar o reducir un riesgo. Se clasifican en: MEDIDAS DE SEGURIDAD ACTIVA. MEDIDAS DE SEGURIDAD PASIVA Las medidas de Seguridad Activa son utilizadas para reducir o minimizar la ocurrencia del riesgo y se clasifican en: Medidas Preventivas (antes del incidente) Medidas Detectivas (durante el incidente)

Medidas ante la presencia de riesgos medidas preventivas: La autenticación de usuarios (contraseñas) El control de acceso a los datos (permisos o privilegios) La encriptación de datos sensibles o confidenciales. La instalación y correcta configuración de un buen antivirus. Filtrar el tráfico de la red con un firewall La socialización a los usuarios de normas y políticas en informática.

Medidas ante la presencia de riesgos La actualización del software (sistemas operativos, aplicaciones, programas) La instalación de hardware redundante en los servidores (discos espejos, fuentes de energía, tarjetas de red. La instalación de una UPS. La validación de los datos. La implementación de sistemas de acceso al CPD.

Medidas ante la presencia de riesgos Medidas Detectivas: Sistemas de detección de intrusos Procedimientos para análisis de los log Antivirus Antispyware. Firewalls o cortafuegos

Medidas ante la presencia de riesgos MEDIDAS DE SEGURIDAD PASIVAS. Son medidas utilizadas para minimizar el impacto causado cuando se presenta el incidente. También se conocen como medidas correctivas. (se aplican después de ocurrido el incidente). La recuperación de datos usando una copia de seguridad. Ejecución de un plan de contingencias.

Procedimiento de gestión de riesgos.

Administración del Riesgo Riesgo Residual Es un suceso o circunstancia indeterminada que permanece después de haber ejecutado todos los controles a los riesgos

Administración del Riesgo Riesgo Total = Probabilidad de ocurrencia * Impacto promedio Riesgo Total y Riesgo Residual Probabil Grado de Impacto (millones$) Riesgo total Efectivid Riesgo AMENAZA idad Servidores Terminales Datos Instalaciones Personal ad del residual Incendio 1% 20 10 16 124 82 2,52 100% - Inundacion 0,50% 20 20 16 44 2 0,51 90% 0,05 Accesos no autorizados 20% 2 0 24 0 0 5,20 50% 2,60 Fallas 25% 1 1 4 0 0 1,50 50% 0,75 Virus 30% 4 6 2 0 0 3,60 80% 0,72

Decisión del Riesgo Residual Terminar: abandonar la actividad por excesivamente riesgosa Reducir: fortalecer controles o implementar nuevos controles Aceptar: tomar el riesgo Pasar: contratar, por ejemplo, una póliza de seguro (ejemplo póliza de seguros para amparar ataques cibernéticos)

La seguridad es un proceso que nunca termina MIDA Retroalimentar y medir IDENTIFIQUE Identificar riesgos y amenazas CONTROLE Controlar y minimizar las amenazas EVALUE Evaluar el impacto

2026 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback