SlideShare ist ein Scribd-Unternehmen logo

Análisis y gestion de riesgos

U
Universidad Tecnológica
Bildung
1 von 19
Downloaden Sie, um offline zu lesen
2010 NIVERSIDAD TECNOLOGICA DE PANAMÁ EGURIDAD DE 9/04/2010 GESTIÓN DE RIESGOS” Análisis y Gestión de Riesgos
Análisis y Gestión de Riesgos UNIVERISDAD TECNOLÓGICA DE PANAMÁ SEDE REGIONAL DE CHIRIQUÍ FACULTAD DE SISTEMAS COMPUTACIONALES SEGURIDAD EN TECNOLOGIA DE COMPUTACION “ANALISIS Y GESTIÓN DE RIESGOS” ELABORADO POR: GADEAS, EDITH MARTINEZ, MANUEL STONESTREET, CHERYLL PRESENTADO A LA CONSIDERACIÓN DEL PROFESOR: RENE SALDAÑA FECHA DE ENTREGA: JUEVES, 28 DE ABRIL DE 2010
Análisis y Gestión de Riesgos Índice Introducción I. Definición de Riesgos II. Proceso de Administración de Riesgos 1. Identificar los factores de Riesgo 2. Análisis de la Probabilidad de Riesgos 3. Desarrollo de estrategias para mitigar los riesgos o Invocar el plan de contingencias. o Gestionar la crisis. o Recuperarse de la crisis. 4. Supervisión de la Administración de los factores de riesgo Conclusiones Bibliografía
Análisis y Gestión de Riesgos INTRODUCCIÓN Los riesgos de seguridad de información deben ser considerados en el contexto del negocio, y las interrelaciones con otras funciones de negocios, tales como recursos humanos, desarrollo, producción, operaciones, administración, TI, finanzas, etcétera y los clientes deben ser identificados para lograr una imagen global y completa de estos riesgos. Cada organización tiene una misión. En esta era digital, las organizaciones que utilizan sistemas tecnológicos para automatizar sus procesos o información deben de estar conscientes que la administración del riesgo informático juega un rol crítico. La meta principal de la administración del riesgo informático debería ser “proteger a la organización y su habilidad de manejar su misión” no solamente la protección de los elementos informáticos. Además, el proceso no solo debe de ser tratado como una función técnica generada por los expertos en tecnología que operan y administran los sistemas, sino como una función esencial de administración por parte de toda la organización. Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad, considerando la probabilidad y la importancia de ocurrencia. Por lo que podemos decir a grandes rasgos que la administración de riesgos es el proceso de identificación, evaluación y toma de decisiones para reducir el riesgo a un nivel aceptable. El análisis de riesgo informático es un elemento que forma parte del programa de gestión de continuidad de negocio (Business Continuity Management) En el análisis de riesgo informático es necesario identificar si existen controles que ayudan a minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado), de no existir, la vulnerabilidad será de riesgo no controlado. Dentro de la evaluación del riesgo es necesario realizar las siguientes acciones: Calcular el impacto en caso que la amenaza se presente, tanto a nivel de riesgo no controlado como el riesgo controlado y evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza de forma cuantitativa (asignando pesos) ó de forma cualitativa (matriz de riesgos).
Análisis y Gestión de Riesgos I. DEFINICIÓN DE RIESGOS Anteriormente se conocía riesgos como los eventos que suscitaban una posibilidad de fraude, sustracción de activos, faltas a la ética y la moral. Riesgos estaba únicamente referido a la gestión de riesgos físicos y cubiertos por pólizas de seguros. Nueva Visión: Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo. De manera cuantitativa el riesgo es una medida de las posibilidades de incumplimiento o exceso del objetivo planteado. Así definido, un riesgo conlleva dos tipos de consecuencias: ganancias o pérdidas. En lo relacionado con tecnología, generalmente el riesgo se plantea solamente como amenaza, determinando el grado de exposición a la ocurrencia de una pérdida (por ejemplo el riesgo de perder datos debido a rotura de disco, virus informáticos, etc.). La Organización Internacional por la Normalización (ISO) define riesgo tecnológico (Guías para la gestión de la seguridad de TI /TEC TR 13335-1, 1996) como: “La probabilidad de que una amenaza se materialice, utilizando vulnerabilidad existentes de un activo o un grupo de activos, generándole perdidas o daños”. En la definición anterior se pueden identificar varios elementos que se deben comprender adecuadamente para, por ende, comprender integralmente el concepto de riesgo manejado. Estos elementos son: probabilidad, amenazas, vulnerabilidades, activos e impactos.
Análisis y Gestión de Riesgos A continuación se analiza cada uno de ellos:  Probabilidad: establecer la probabilidad de ocurrencia puede realizarse de manera cuantitativa o cualitativa, pero siempre considerando que la medida no debe contemplar la existencia de ninguna acción paliativa, o sea, debe considerarse en cada caso qué posibilidades existen que la amenaza se presente independientemente del hecho que sea o no contrarrestada. Existen amenazas, como por ejemplo incendios, para las cuales hay información suficiente (series históricas, compañías de seguros y otros datos) para establecer con razonable objetividad su probabilidad de ocurrencia. Otras amenazas presentan mayor dificultad en establecer cuantitativamente la probabilidad. Por ejemplo, el acceso no autorizado a datos; dónde se hacen estimaciones sobre la base de experiencias. Siguiendo con el ejemplo, para el personal interno del Centro de Cómputos (CPD), la probabilidad puede ser el 70%, para el personal de la organización, externo al CPD, del 45%, y para personas de fuera, el 80% (a través de acceso por Internet).  Amenazas: las amenazas siempre existen y son aquellas acciones que pueden ocasionar consecuencias negativas en la operativa de la empresa. Comúnmente se indican como amenazas a las fallas, a los ingresos no autorizados, a los virus, uso inadecuado de software, los desastres ambientales como terremotos o inundaciones, accesos no autorizados, facilidad de acceso a las instalaciones, etc. Las amenazas pueden ser de carácter físico o lógico, como ser una inundación en el primer caso, o un acceso no autorizado a una base de datos en el segundo caso.  Vulnerabilidades: son ciertas condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen llevan a esos activos a ser vulnerables.
Análisis y Gestión de Riesgos Mediante el uso de las debilidades existentes es que las amenazas logran materializarse, o sea, las amenazas siempre están presentes, pero sin la identificación de una vulnerabilidad no podrán ocasionar ningún impacto. Estas vulnerabilidades son de naturaleza variada. A modo de ejemplo se citan las siguientes: falta de conocimiento del usuario, tecnología inadecuadamente probada (“testeada”), transmisión por redes públicas, etc. Una vulnerabilidad común es contar con antivirus no actualizado, la cual permitirá al virus actuar y ocasionar daños. Si el antivirus estuviese actualizado la amenaza (virus) si bien potencialmente seguiría existiendo no podría materializarse.  Activos: Los activos a reconocer son aquellos relacionados con sistemas de información. Ejemplos típicos son los datos, el hardware, el software, servicios, documentos, edificios y recursos humanos.  Impactos: las consecuencias de la ocurrencia de las distintas amenazas son siempre negativas. Las pérdidas generadas pueden ser financieras, no financieras, de corto plazo o de largo plazo. Se puede establecer que las más comunes son: la pérdida directa de dinero, la pérdida de confianza, la reducción de la eficiencia y la pérdida de oportunidades de negocio. Otras no tan comunes, felizmente, son la pérdida de vidas humanas, afectación del medio ambiente, etc. II. PROCESO DE ADMINISTRACIÓN DE RIESGOS El proceso de administración de riesgos es un proceso continuo, dado que es necesario evaluar periódicamente si los riesgos identificados y la exposición a los mismos calculada en etapas anteriores se mantienen vigentes. La dinámica en la cual se ven inmersa las organizaciones actualmente demanda este esfuerzo día a día. Es por eso que ante cada nuevo emprendimiento se realice en tempranas etapas (recomendable luego de fijar los objetivos) un análisis de riesgo del referido proyecto así como su impacto futuro en la estructura de riesgos de la organización. Elementos de la Gestión de Riesgos: 1. Identificar los factores de Riesgo
Análisis y Gestión de Riesgos Se trata de visualizar el desarrollo y tomar notas de las cosas “malas” que podrían ocurrirnos. Es aconsejable el disponer de una lista con los problemas acaecidos en otros sistemas y revisarla. “Quien no conoce su pasado esta condenado a repetirlo” En este paso se identifican los factores que introducen una amenaza en la planificación del entorno informático. Los principales factores que se ven afectados son:  Creación de la planificación, que incluye: Planificación excesivamente optimista, planificación con tareas innecesarias, y organización de un entorno informático sin tener en cuenta áreas desconocidas y la envergadura del mismo.  La organización y gestión, que incluye: Presupuestos bajos, El ciclo de revisión/decisión de las directivas es más lento de lo esperado.  El entorno de trabajo, que incluye: Mal funcionamiento de las herramientas de desarrollo, espacios de trabajo inadecuados y la curva de aprendizaje de las nuevas tecnologías es más larga de lo esperado.  Las decisiones de los usuarios finales, que incluye: Falta de participación de los usuarios finales y la falta de comunicación entre los usuarios y el departamento de informática  El personal contratado, que incluye: Falta de motivación, falta de trabajo en equipo y trabajos de poca calidad.  Los procesos, que incluye: La burocracia, falta de control de calidad y la falta de entusiasmo. 2. Análisis de la Probabilidad de Riesgos El análisis de riesgo es un proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización o empresa. Es la identificación de las amenazas que acechan a los distintos componentes pertenecientes o relacionados con un sistema de información (activos) para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede afectar a la organización. Hay que ponerse en la piel del atacante e imaginar qué haría con sus conocimientos y recursos. Es importante plantear diferentes situaciones
Análisis y Gestión de Riesgos dependiendo del perfil técnico del atacante o de sus recursos técnicos y humanos. Estos escenarios de ataque o dramatizaciones son importantes para evaluar impactos y riesgos. Estructura de la Seguridad Informática La historia de la seguridad informática se remonta a los tiempos de los primeros documentos escritos. De hecho, la necesidad de información segura tuvo su origen en el año 2000 antes de Cristo. Los egipcios fueron los primeros en utilizar jeroglíficos especiales para codificar la información y, según paso el tiempo, las civilizaciones de Babilonia, Mesopotamia y Grecia inventaron formas de proteger su información escrita. La codificación de la información, que es el base del cifrado, fue utilizada por Julio Cesar, y durante toda la historia en periodos de guerra, incluyendo las guerras civiles y revolucionarias, y las dos guerras mundiales. Una de las máquinas de codificación mejor conocidas fue la alemana Enigma, utilizada por los alemanes para crear mensajes codificados en la Segunda Guerra Mundial. Con el tiempo, y gracias a los esfuerzos del proyecto Ultra de los Estados Unidos de América, entre otros, la capacidad de descifrar los mensajes generados por los alemanes marcó un éxito importante para los aliados. En los últimos diez años, la importancia de la seguridad informática se ha puesto de manifiesto por algunas historias. Una de ellas fue la del gusano de Internet, en 1988, que se extendió por decenas de miles de computadores, como resultado de la obra de un hacker llamado Robert Morris. Había un pirata informático en 1995 en Alemania que se introdujo en casi 30 sistemas a partir de un objetivo que se había propuesto a sí mismo de casi 500. Más recientemente, en febrero de 1995, el arresto del pirata informático más buscado, Kevin Nitnick, reveló las actividades criminales que incluían el robo de códigos, de información y de otro tipo de datos secretos durante años. Claramente, la amplia utilización de los sistemas informáticos ha puesto en evidencia la importancia de la seguridad informática. El objetivo principal de la seguridad informática es proteger los recursos informáticos del daño, la alteración, el robo y la pérdida. Esto incluye los equipos, los medios de almacenamiento, el software, los listados de impresora y en general, los datos. Una efectiva estructura de seguridad informática se basa en cuatro técnicas de administración de riesgos, mostradas en el siguiente diagrama:
Análisis y Gestión de Riesgos Figura No. 3 Estructura de la seguridad informática  Estrategias y políticas: Estrategias de administración para seguridad informática y políticas, estándares, guías o directivos usados para comunicar estas estrategias a la organización.  Administración de la organización: Procesos que se dirigen hacia políticas profesionales y programas de capacitación, administración de cambios y control, administración de seguridad y otras actividades necesarias.  Monitorización de eventos: Procesos reactivos que permite a la administración medir correctamente la implementación de políticas e identificar en que momento las políticas necesitan cambios.  Técnología informática: Es la tecnología necesaria para proveer la apropiada protección y soporte en los distintos procesos involucrados en la organización. La seguridad informática abarca un amplio rango de estrategias y soluciones, tales como: o Control de acceso: Una de las líneas de defensa más importantes contra los intrusos indeseados es el control de acceso. Básicamente, el papel del control de acceso es identificar la persona que desea acceder al sistema y a sus datos, y verificar la identidad de dicha persona. La manera habitual de controlar el acceso a un sistema es restringir la entrada a cualquiera que no tenga un nombre de usuario y una contraseña válidos. Las contraseñas son un ejemplo de una forma simple pero efectiva de control de acceso. El control de acceso es efectivo para mantener a las personas desautorizadas fuera del sistema. Sin embargo, una vez que alguien está dentro, la persona no debería tener acceso libre a todos los programas, archivos e información existente en el sistema. El control de acceso discrecional, a veces abreviado por el acrónimo DAC, se realiza en muchos sistemas, y es una parte importante de cualquier acceso donde el acceso a los archivos y programas se concede en función de la clase de permisos otorgados a un usuario o un perfil de usuarios. Es discrecional en tanto que un administrador puede especificar la clase de acceso que decide dar a otros usuarios del sistema.
Análisis y Gestión de Riesgos Esto difiere de otra clase de controles más restrictiva, control de acceso obligatorio (MAC), que proporciona un control mucho más rigido de acceso a la información del sistema. o Virus informáticos: La prevención y control de los efectos producidos por las diferentes clases de virus y programas destructivos que existen. o Planificación y administración del sistema: Planificación, organización y administración de los servicios relacionados con la informática, así como políticas y procedimientos para garantizar la seguridad de los recursos de la organización. o Cifrado: La encriptación y la desencriptación de la información manipulada, de forma que sólo las personas autorizadas pueden acceder a ella. o Seguridad de la red y de comunicaciones: Controlar problemas de seguridad a través de las redes y los sistemas de telecomunicaciones. o Seguridad física: Otro aspecto importante de la seguridad informática es la seguridad física de sus servicios, equipos informáticos y medios de datos reales; para evitar problemas que pueden tener como resultado: Pérdida de la productividad, pérdida de ventaja competitiva y sabotajes intencionados. Algunos de los métodos de prevenir el acceso ilegal a los servicios informáticos incluyen:  Claves y contraseñas para permitir el acceso a los equipos.  Uso de cerrojos y llaves.  Fichas ó tarjetas inteligentes.  Dispositivos biométricos (Identificación de huellas dactilares, lectores de huellas de manos, patrones de voz, firma/escritura digital, análisis de pulsaciones y escáner de retina, entre otros). Para desarrollar un análisis efectivo de la probabilidad de los riesgos se debe tener en cuenta lo siguiente:  Evaluar la probabilidad de tener el problema.  Evaluar los efectos sobre el proyecto.  Clasificar los riesgos en base a la EXPOSICIÓN AL RIESGO, que se calcula como: Probabilidad * Efecto  Como consecuencia de esta clasificación habrán riesgos importantes y otros menores. 3. Desarrollo de estrategias para mitigar los riesgos Anticiparse a los hechos: Imagínese el peor escenario posible. Piense cómo evitarlo. Existen normas, procedimientos, protocolos de seguridad existentes que pueden ayudar a crear y basar (valga la redundancia) sus procedimientos internos para alejar la posibilidad de riesgo. Si su empresa opera a través de internet o telecomunicaciones no olvide que es más probable tener una fuga de información o
Análisis y Gestión de Riesgos problema interno de seguridad con su personal a que un hacker intente vulnerar sus sistemas, el fraude interno está a la orden del día. Realice periódicamente perfiles socioeconómicos de su personal, tenga entrevistas con cada uno de sus empleados con una frecuencia trimestral contando con apoyo de un profesional en psicología laboral con experiencia previa y capacitado en PNL (nunca está de más que en estas entrevistas participe un auditor en seguridad, el auditor debe ser capaz de percibir a un “insider” (Empleado desleal quien por motivos de desinterés, falta de capacidad intelectual y/o analítica, problemas psicológicos o psiquiátricos, corrupción, colusión u otros provoca daños en forma deliberada en la empresa en que trabaja). Regulaciones y Normas que tratan el riesgo Comunicación “A” 4609 del BCRA para entidades Financieras • Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática y sistemas de información. ISO/IEC 27001 • Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) ISO/IEC 27005 • Esta Norma proporciona directrices para la Gestión del riesgo de Seguridad de la Información en una Organización. Sin embargo, esta Norma no proporciona ninguna metodología específica para el análisis y la gestión del riesgo de la seguridad de la información. Basilea II • Estándar internacional que sirva de referencia a los reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la protección de las entidades frente a los riesgos financieros y operativos. Ley Sarbanes Oxley (SOX) • Impulsada por el gobierno norteamericano como respuesta a los mega fraudes corporativos que impulsaron Enron, Tyco International, WorldCom y Peregrine Systems. Es un conjunto de medidas tendientes a asegurar la efectividad de los controles internos sobre reportes financieros. Cómo mitigar los riesgos en la seguridad de los datos al hacer outsourcing global Llevar a cabo una detallada evaluación previa de cada proveedor y cada sitio de entrega antes de la firma.
Análisis y Gestión de Riesgos Haga su tarea. Revise las políticas de seguridad de información corporativas y las políticas de protección de la instalación física de los proveedores para garantizar todos los riesgos están cubiertos. Asegúrese de que existen controles de seguridad de red y que el sitio de la prestación está certificado internacionalmente de acuerdo con normas reconocidas de cumplimiento de seguridad incluyendo ISO 27001, BS 7799, SAS 70 y otras. Establecer un programa de evaluación y auditoría. Se recomienda la revisión y la realización de auditorías en las políticas de seguridad del proveedor de servicio remoto sobre una base anual como mínimo. Con mayor frecuencia, considere la posibilidad de realizar un examen sobre el terreno de la zona y lugar específico utilizado para llevar a cabo los negocios de clientes a razón de dos veces al año, o cuantas considere oportunas de acuerdo con las necesidades de los proyectos y los riesgos. Crear obligaciones en materia de seguridad en el contrato de externalización. Recomendamos a los clientes que todos los controles relacionados con la seguridad figuren en el contrato. En concreto, éste incluirá temas como un acuerdo de no divulgación, la verificación de antecedentes personales y evaluaciones de seguridad. Debe figurar en el contrato que el personal del proveedor de servicios no se puede destinar a un competidor directo durante un determinado período de tiempo, y también deben figurar las definiciones de violación de la seguridad y sus responsabilidades derivadas. Construir una cultura de seguridad en la organización. Por encima de todo, una cultura de la seguridad es primordial y se inicia con un grupo de personas que impulsen esta iniciativa y refuercen constantemente el mensaje. Aquí hay cuatro iniciativas que deben considerarse para establecer una cultura de la seguridad: a. Equipo de seguridad del cliente: los clientes deslocalizados han comenzado a crear los equipos de seguridad de TI, o, alternativamente, aumentar el número de personas en esos equipos. El equipo de seguridad es consciente de las cuestiones que puedan surgir y, por tanto, publica las políticas de seguridad aplicables a los prestadores de servicios y ayuda a asegurar los controles. El equipo asegura la formación continua de las personas involucradas por parte del cliente y por parte del proveedor de servicios. b. Visitas de clientes: Recomendamos un calendario de visitas. Estas visitas ayudan los equipos del proveedor de servicios a apreciar los
Análisis y Gestión de Riesgos negocios de sus clientes y sus preocupaciones. Los clientes también deberían incluir la seguridad en la agenda de sus conversaciones con el personal del proveedor de servicios. c. Evaluaciones formales: En general, las evaluaciones no se dan con regularidad suficiente y se deben realizar al menos una vez al año. Las evaluaciones mantienen abiertos los temas clave en cualquier debate sobre seguridad y mejoran la rendición de cuentas. Además, los proveedores de servicios deben realizar una evaluación voluntaria una vez al año y presentar los resultados a los clientes. d. Formación continua: La mezcla de personas sin experiencia en el trabajo y de múltiples orígenes culturales acentúa la necesidad de un continuo programa de educación en torno a las políticas de seguridad corporativas. Invocar el plan de contingencias. Sí algún factor de riesgo excede los límites de control habrá de tomarse las medidas previstas. Es habitual varios niveles limites, – ante los primeros excesos se notifique el problema a nivel operativo, – si este no se corrige, se excede el siguiente límite, se pondrá en marcha el plan de contingencia previsto. Gestionar la crisis. El que la situación de crisis este prevista no quiere decir que podamos relajarnos, más bien al contrario. Deberemos estar más atentos al control de la crisis y del resto. Puedes suceder que el plan de contingencia: – funcione de acuerdo a lo previsto.
Análisis y Gestión de Riesgos – fracase. En este caso pasaremos a una situación de crisis (vista en el tema anterior) Recuperarse de la crisis. Si el plan de contingencia ha ido de acuerdo a lo previsto como si no, deberemos:  Recompensar a las personas a las que se ha forzado a trabajar más duro (ver tema anterior),  Replanificar el proyecto con los retrasos y los costes que esa situación hayan provocado. 4. Supervisión de la Administración de los factores de riesgo La supervisión de riesgos normalmente valora cada uno de los riesgos identificados para decidir si este es más o menos probable y si han cambiado sus efectos. Esto no se puede observar de forma directa, por lo que se tiene que buscar otros factores para dar indicios de la probabilidad de riesgos. Estos factores dependen de los tipos de riesgos. Los síntomas deberán de cuantificarse de forma precisa mediante medidas objetivas y puntuales. Hay que disponer de un sistema de trazabilidad entre los factores de riesgo y los problemas asociados, así como los límites de control.
Análisis y Gestión de Riesgos CONCLUSIONES Mas allá de todo lo expuesto a lo largo de este documento, no se debe olvidar nunca que los riesgos cohabitan continuamente con el diario quehacer, siempre están latentes, aun cuando no se los pueda o no se los quiera identificar. Es por eso que independientemente de las herramientas utilizadas para la administración de los riesgos, lo más importante es que exista conciencia que la administración del riesgo informático debe ser una actividad prevista y llevada a cabo al igual que la implementación y el funcionamiento de sistemas de información.
Análisis y Gestión de Riesgos Recordar que la única manera de evitar un riesgo es eliminarla, o las actividades que lo genera. Hay actividades que pueden ser eliminadas y otras no, son necesarias. Por lo tanto se está tratando, es imprescindible la adecuada administración del riesgo informático.
Análisis y Gestión de Riesgos RECOMENDACIONES La seguridad informática ha evolucionado sustancialmente durante los últimos 50 años. Los primeros sistemas elaborados en los años 1940’ y 1950’ no contaban con ninguna seguridad y aún así, por distintas razones, funcionaban bien. Pero los sistemas actuales forman parte de un mundo totalmente distinto; han sido diseñados en función de distintos controles de seguridad que nos protegen de problemas de seguridad inadvertidos y de agentes maliciosos. 1. Conviértase en experto o busque la ayuda de expertos 2. Entienda su negocio 3. Catalogue sus bienes 4. Bloquee los escritorios 5. Bloquee el perímetro 6. Establezca planes de contingencia
Análisis y Gestión de Riesgos BIBLIOGRAFIA http://www.basc-costarica.com/documentos/riesgosinformatica.pdf http://www.cabinas.net/informatica/analisis_riesgos_informaticos.asp http://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf http://seguridad-informacion.blogspot.com/2009/03/como-mitigar-los-riesgos- en-la_04.html

Empfohlen

politicas de seguridad informatica normas
politicas de seguridad informatica normaspoliticas de seguridad informatica normas
politicas de seguridad informatica normasgalactico_87
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Análisis de riesgos
Análisis de riesgosAnálisis de riesgos
Análisis de riesgosAlexander Velasque Rimac
 
Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersSara SI-MOUSSI
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Evolucion de la tecnologia en las empresas
Evolucion de la tecnologia en las empresasEvolucion de la tecnologia en las empresas
Evolucion de la tecnologia en las empresasAbello Andrex
 
Diapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaDiapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaPedro Cobarrubias
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionana anchundia
 

Empfohlen

politicas de seguridad informatica normas
politicas de seguridad informatica normaspoliticas de seguridad informatica normas
politicas de seguridad informatica normasgalactico_87
 
Estándares de seguridad informática
Estándares de seguridad informáticaEstándares de seguridad informática
Estándares de seguridad informáticaManuel Mujica
 
Análisis de riesgos
Análisis de riesgosAnálisis de riesgos
Análisis de riesgosAlexander Velasque Rimac
 
Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersSara SI-MOUSSI
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
Evolucion de la tecnologia en las empresas
Evolucion de la tecnologia en las empresasEvolucion de la tecnologia en las empresas
Evolucion de la tecnologia en las empresasAbello Andrex
 
Diapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaDiapositiva sobre seguridad informática
Diapositiva sobre seguridad informáticaPedro Cobarrubias
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacionana anchundia
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaIESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticasDavid Narváez
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticosVladimirMC
 
iso 27005
iso 27005iso 27005
iso 27005Pamelita TA
 
ISO 27001
ISO 27001ISO 27001
ISO 27001MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
introduccion Hacking etico
introduccion Hacking eticointroduccion Hacking etico
introduccion Hacking eticoYulder Bermeo
 
Plan de Contingencia Informatico
Plan de Contingencia InformaticoPlan de Contingencia Informatico
Plan de Contingencia InformaticoFernando Alfonso Casas De la Torre
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Primala Sistema de Gestion
 
Seguridad Informática - Ensayo
Seguridad Informática - Ensayo Seguridad Informática - Ensayo
Seguridad Informática - Ensayoronaldmartinez11
 
Mehari 2010-diagnostic
Mehari 2010-diagnosticMehari 2010-diagnostic
Mehari 2010-diagnosticidman007
 
Etica y valores en la empresa
Etica y valores en la empresaEtica y valores en la empresa
Etica y valores en la empresaovidiodiaz1004
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la informaciónUniversidad de Los Andes (ULA)
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticosmonica Rubiiano P
 
It Security Audit Process
It Security Audit ProcessIt Security Audit Process
It Security Audit ProcessRam Srivastava
 
Infraestructura TI
Infraestructura TIInfraestructura TI
Infraestructura TIAbel Bryan Iñamagua Paz
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799Isaias Rubina Miranda
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
NOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDAD
NOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDADNOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDAD
NOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDADINTELIX INGENIERIA - Rosario Argentina
 
ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONAny López
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgosKarlita G Martín
 

Weitere ähnliche Inhalte

Was ist angesagt?

3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticasDavid Narváez
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticosVladimirMC
 
introduccion Hacking etico
introduccion Hacking eticointroduccion Hacking etico
introduccion Hacking eticoYulder Bermeo
 
Seguridad Informática - Ensayo
Seguridad Informática - Ensayo Seguridad Informática - Ensayo
Seguridad Informática - Ensayoronaldmartinez11
 
Mehari 2010-diagnostic
Mehari 2010-diagnosticMehari 2010-diagnostic
Mehari 2010-diagnosticidman007
 
Etica y valores en la empresa
Etica y valores en la empresaEtica y valores en la empresa
Etica y valores en la empresaovidiodiaz1004
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
It Security Audit Process
It Security Audit ProcessIt Security Audit Process
It Security Audit ProcessRam Srivastava
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaedithua
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 

Was ist angesagt? (20)

Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas3.1 Seguridad de la información gestión y políticas
3.1 Seguridad de la información gestión y políticas
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
 
iso 27005
iso 27005iso 27005
iso 27005
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
introduccion Hacking etico
introduccion Hacking eticointroduccion Hacking etico
introduccion Hacking etico
 
Plan de Contingencia Informatico
Plan de Contingencia InformaticoPlan de Contingencia Informatico
Plan de Contingencia Informatico
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Seguridad Informática - Ensayo
Seguridad Informática - Ensayo Seguridad Informática - Ensayo
Seguridad Informática - Ensayo
 
Mehari 2010-diagnostic
Mehari 2010-diagnosticMehari 2010-diagnostic
Mehari 2010-diagnostic
 
Etica y valores en la empresa
Etica y valores en la empresaEtica y valores en la empresa
Etica y valores en la empresa
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
 
It Security Audit Process
It Security Audit ProcessIt Security Audit Process
It Security Audit Process
 
Infraestructura TI
Infraestructura TIInfraestructura TI
Infraestructura TI
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 
Clase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoríaClase 3 metodologías de control interno, seguridad y auditoría
Clase 3 metodologías de control interno, seguridad y auditoría
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informático
 
NOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDAD
NOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDADNOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDAD
NOCIONES BASICAS DE CIBERSEGURIDAD - MINISTERIO SEGURIDAD
 

Ähnlich wie Análisis y gestion de riesgos

ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONAny López
 
ADMINISTRACION INTEGRAL DE RIESGOS
ADMINISTRACION INTEGRAL DE RIESGOSADMINISTRACION INTEGRAL DE RIESGOS
ADMINISTRACION INTEGRAL DE RIESGOSAnabel Montalvo
 
ADMINISTRACION INTEGRAL DE RIESGOS
ADMINISTRACION INTEGRAL DE RIESGOSADMINISTRACION INTEGRAL DE RIESGOS
ADMINISTRACION INTEGRAL DE RIESGOSAnabel Montalvo
 
Administración de Riesgos Informáticos
Administración de Riesgos InformáticosAdministración de Riesgos Informáticos
Administración de Riesgos InformáticosVernicaQuinteroJimne
 
Análisis y Evaluación de Riesgos
Análisis y Evaluación de RiesgosAnálisis y Evaluación de Riesgos
Análisis y Evaluación de RiesgosCamilo Quintana
 
12. tesis. capítulo 2
12. tesis. capítulo 212. tesis. capítulo 2
12. tesis. capítulo 2ucc
 
Cesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar Velez
 
Ojeda Sebastian seguridad informática I.F.T.S. N°1 T.N.
Ojeda Sebastian seguridad informática I.F.T.S. N°1 T.N.Ojeda Sebastian seguridad informática I.F.T.S. N°1 T.N.
Ojeda Sebastian seguridad informática I.F.T.S. N°1 T.N.Sebastian Ojeda
 
Presentación análisis y administración de riesgo
Presentación análisis y administración de riesgoPresentación análisis y administración de riesgo
Presentación análisis y administración de riesgoAnel García Pumarino
 
Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790albertodiego26
 
TEMA 6 EXPO GESTION DE RIESGO de software.pptx
TEMA 6 EXPO GESTION DE RIESGO de software.pptxTEMA 6 EXPO GESTION DE RIESGO de software.pptx
TEMA 6 EXPO GESTION DE RIESGO de software.pptxRonaldPereira30
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticosManuel Murcia
 
Modelos de investigacion de eventos en aeronautica
Modelos de investigacion de eventos en aeronauticaModelos de investigacion de eventos en aeronautica
Modelos de investigacion de eventos en aeronauticarichardguerra
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 

Ähnlich wie Análisis y gestion de riesgos (20)

ADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACIONADQUISICION E IMPLEMENTACION
ADQUISICION E IMPLEMENTACION
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgos
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
 
ADMINISTRACION INTEGRAL DE RIESGOS
ADMINISTRACION INTEGRAL DE RIESGOSADMINISTRACION INTEGRAL DE RIESGOS
ADMINISTRACION INTEGRAL DE RIESGOS
 
ADMINISTRACION INTEGRAL DE RIESGOS
ADMINISTRACION INTEGRAL DE RIESGOSADMINISTRACION INTEGRAL DE RIESGOS
ADMINISTRACION INTEGRAL DE RIESGOS
 
Administración de Riesgos Informáticos
Administración de Riesgos InformáticosAdministración de Riesgos Informáticos
Administración de Riesgos Informáticos
 
Análisis y Evaluación de Riesgos
Análisis y Evaluación de RiesgosAnálisis y Evaluación de Riesgos
Análisis y Evaluación de Riesgos
 
Administracion
AdministracionAdministracion
Administracion
 
12. tesis. capítulo 2
12. tesis. capítulo 212. tesis. capítulo 2
12. tesis. capítulo 2
 
Cesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos mageritCesar velez metodologia riesgos magerit
Cesar velez metodologia riesgos magerit
 
Ojeda Sebastian seguridad informática I.F.T.S. N°1 T.N.
Ojeda Sebastian seguridad informática I.F.T.S. N°1 T.N.Ojeda Sebastian seguridad informática I.F.T.S. N°1 T.N.
Ojeda Sebastian seguridad informática I.F.T.S. N°1 T.N.
 
Presentación análisis y administración de riesgo
Presentación análisis y administración de riesgoPresentación análisis y administración de riesgo
Presentación análisis y administración de riesgo
 
Gestión de riesgos
Gestión de riesgosGestión de riesgos
Gestión de riesgos
 
Modelo shell
Modelo shellModelo shell
Modelo shell
 
Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790Riesgosprocesosppt383 2477 1239 1790
Riesgosprocesosppt383 2477 1239 1790
 
TEMA 6 EXPO GESTION DE RIESGO de software.pptx
TEMA 6 EXPO GESTION DE RIESGO de software.pptxTEMA 6 EXPO GESTION DE RIESGO de software.pptx
TEMA 6 EXPO GESTION DE RIESGO de software.pptx
 
Riesgos informaticos
Riesgos informaticosRiesgos informaticos
Riesgos informaticos
 
Riesgo operativo
Riesgo operativoRiesgo operativo
Riesgo operativo
 
Modelos de investigacion de eventos en aeronautica
Modelos de investigacion de eventos en aeronauticaModelos de investigacion de eventos en aeronautica
Modelos de investigacion de eventos en aeronautica
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 

Mehr von Universidad Tecnológica

Cómo resolver los desacuerdos en la música adventista
Cómo resolver los desacuerdos en la música adventistaCómo resolver los desacuerdos en la música adventista
Cómo resolver los desacuerdos en la música adventistaUniversidad Tecnológica
 
Meditaciones para la recepcion del sabado 2014
Meditaciones para la recepcion del sabado 2014Meditaciones para la recepcion del sabado 2014
Meditaciones para la recepcion del sabado 2014Universidad Tecnológica
 

Mehr von Universidad Tecnológica (20)

Debe un cristiano asistir al cine
Debe un cristiano asistir al cineDebe un cristiano asistir al cine
Debe un cristiano asistir al cine
 
Nace juan el bautista
Nace juan el bautistaNace juan el bautista
Nace juan el bautista
 
Los pozos de isaac
Los pozos de isaacLos pozos de isaac
Los pozos de isaac
 
La creacion
La creacionLa creacion
La creacion
 
Elias y la viuda
Elias y la viudaElias y la viuda
Elias y la viuda
 
El sermon del monte
El sermon del monteEl sermon del monte
El sermon del monte
 
David y goliat
David y goliatDavid y goliat
David y goliat
 
Daniel y el sueño del rey
Daniel y el sueño del reyDaniel y el sueño del rey
Daniel y el sueño del rey
 
Jesus llama a sus discipulos
Jesus llama a sus discipulosJesus llama a sus discipulos
Jesus llama a sus discipulos
 
Cómo resolver los desacuerdos en la música adventista
Cómo resolver los desacuerdos en la música adventistaCómo resolver los desacuerdos en la música adventista
Cómo resolver los desacuerdos en la música adventista
 
El arte de ser la mujer encantadora
El arte de ser la mujer encantadoraEl arte de ser la mujer encantadora
El arte de ser la mujer encantadora
 
El culto divino inspirador
El culto divino inspiradorEl culto divino inspirador
El culto divino inspirador
 
Libro el lenguaje de la musica
Libro el lenguaje de la musicaLibro el lenguaje de la musica
Libro el lenguaje de la musica
 
Meditaciones para la recepcion del sabado 2014
Meditaciones para la recepcion del sabado 2014Meditaciones para la recepcion del sabado 2014
Meditaciones para la recepcion del sabado 2014
 
Resurreccion especial
Resurreccion especialResurreccion especial
Resurreccion especial
 
Juicio previo a la venida de cristo
Juicio previo a la venida de cristoJuicio previo a la venida de cristo
Juicio previo a la venida de cristo
 
Campo minado por satanas
Campo minado por satanasCampo minado por satanas
Campo minado por satanas
 
Características de los 144000
Características de los 144000Características de los 144000
Características de los 144000
 
El caracter de los 144000
El caracter de los 144000El caracter de los 144000
El caracter de los 144000
 
Jose
JoseJose
Jose
 

Kürzlich hochgeladen

libro grafismo fonético guía de uso para el lenguaje
libro grafismo fonético guía de uso para el lenguajelibro grafismo fonético guía de uso para el lenguaje
libro grafismo fonético guía de uso para el lenguajeKattyMoran3
 
Cuadernillo de actividades eclipse solar.pdf
Cuadernillo de actividades eclipse solar.pdfCuadernillo de actividades eclipse solar.pdf
Cuadernillo de actividades eclipse solar.pdflizcortes48
 
CUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADO
CUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADOCUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADO
CUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADOEveliaHernandez8
 
Fichas de MatemáticA QUINTO DE SECUNDARIA).pdf
Fichas de MatemáticA QUINTO DE SECUNDARIA).pdfFichas de MatemáticA QUINTO DE SECUNDARIA).pdf
Fichas de MatemáticA QUINTO DE SECUNDARIA).pdfssuser50d1252
 
BITÁCORA DE ESTUDIO DE PROBLEMÁTICA. TUTORÍA V. PDF 2 UNIDAD.pdf
BITÁCORA DE ESTUDIO DE PROBLEMÁTICA. TUTORÍA V. PDF 2 UNIDAD.pdfBITÁCORA DE ESTUDIO DE PROBLEMÁTICA. TUTORÍA V. PDF 2 UNIDAD.pdf
BITÁCORA DE ESTUDIO DE PROBLEMÁTICA. TUTORÍA V. PDF 2 UNIDAD.pdfsolidalilaalvaradoro
 
NUEVO PLAN Y PROGRAMAS DE ESTUDIO 2022.pdf
NUEVO PLAN Y PROGRAMAS DE ESTUDIO 2022.pdfNUEVO PLAN Y PROGRAMAS DE ESTUDIO 2022.pdf
NUEVO PLAN Y PROGRAMAS DE ESTUDIO 2022.pdfEDNAMONICARUIZNIETO
 
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdf
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdfFichas de Matemática DE SEGUNDO DE SECUNDARIA.pdf
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdfssuser50d1252
 
Secuencia didáctica.DOÑA CLEMENTINA.2024.docx
Secuencia didáctica.DOÑA CLEMENTINA.2024.docxSecuencia didáctica.DOÑA CLEMENTINA.2024.docx
Secuencia didáctica.DOÑA CLEMENTINA.2024.docxNataliaGonzalez619348
 
Actividad transversal 2-bloque 2. Actualización 2024
Actividad transversal 2-bloque 2. Actualización 2024Actividad transversal 2-bloque 2. Actualización 2024
Actividad transversal 2-bloque 2. Actualización 2024Rosabel UA
 
DIGNITAS INFINITA - DIGNIDAD HUMANA; Declaración del dicasterio para la doctr...
DIGNITAS INFINITA - DIGNIDAD HUMANA; Declaración del dicasterio para la doctr...DIGNITAS INFINITA - DIGNIDAD HUMANA; Declaración del dicasterio para la doctr...
DIGNITAS INFINITA - DIGNIDAD HUMANA; Declaración del dicasterio para la doctr...Martin M Flynn
 
HISPANIDAD - La cultura común de la HISPANOAMERICA
HISPANIDAD - La cultura común de la HISPANOAMERICAHISPANIDAD - La cultura común de la HISPANOAMERICA
HISPANIDAD - La cultura común de la HISPANOAMERICAJesus Gonzalez Losada
 
4° SES COM MAR 09 Leemos una noticia del dengue e identificamos sus partes (1...
4° SES COM MAR 09 Leemos una noticia del dengue e identificamos sus partes (1...4° SES COM MAR 09 Leemos una noticia del dengue e identificamos sus partes (1...
4° SES COM MAR 09 Leemos una noticia del dengue e identificamos sus partes (1...MagalyDacostaPea
 
DIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJO
DIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJODIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJO
DIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJOLeninCariMogrovejo
 
Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...
Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...
Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...Carol Andrea Eraso Guerrero
 

Kürzlich hochgeladen (20)

libro grafismo fonético guía de uso para el lenguaje
libro grafismo fonético guía de uso para el lenguajelibro grafismo fonético guía de uso para el lenguaje
libro grafismo fonético guía de uso para el lenguaje
 
Cuadernillo de actividades eclipse solar.pdf
Cuadernillo de actividades eclipse solar.pdfCuadernillo de actividades eclipse solar.pdf
Cuadernillo de actividades eclipse solar.pdf
 
Aedes aegypti + Intro to Coquies EE.pptx
Aedes aegypti + Intro to Coquies EE.pptxAedes aegypti + Intro to Coquies EE.pptx
Aedes aegypti + Intro to Coquies EE.pptx
 
CUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADO
CUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADOCUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADO
CUADERNILLO DE EJERCICIOS PARA EL TERCER TRIMESTRE, SEXTO GRADO
 
Fichas de MatemáticA QUINTO DE SECUNDARIA).pdf
Fichas de MatemáticA QUINTO DE SECUNDARIA).pdfFichas de MatemáticA QUINTO DE SECUNDARIA).pdf
Fichas de MatemáticA QUINTO DE SECUNDARIA).pdf
 
Unidad 2 | Teorías de la Comunicación | MCDIU
Unidad 2 | Teorías de la Comunicación | MCDIUUnidad 2 | Teorías de la Comunicación | MCDIU
Unidad 2 | Teorías de la Comunicación | MCDIU
 
BITÁCORA DE ESTUDIO DE PROBLEMÁTICA. TUTORÍA V. PDF 2 UNIDAD.pdf
BITÁCORA DE ESTUDIO DE PROBLEMÁTICA. TUTORÍA V. PDF 2 UNIDAD.pdfBITÁCORA DE ESTUDIO DE PROBLEMÁTICA. TUTORÍA V. PDF 2 UNIDAD.pdf
BITÁCORA DE ESTUDIO DE PROBLEMÁTICA. TUTORÍA V. PDF 2 UNIDAD.pdf
 
NUEVO PLAN Y PROGRAMAS DE ESTUDIO 2022.pdf
NUEVO PLAN Y PROGRAMAS DE ESTUDIO 2022.pdfNUEVO PLAN Y PROGRAMAS DE ESTUDIO 2022.pdf
NUEVO PLAN Y PROGRAMAS DE ESTUDIO 2022.pdf
 
Sesión ¿Amor o egoísmo? Esa es la cuestión
Sesión ¿Amor o egoísmo? Esa es la cuestiónSesión ¿Amor o egoísmo? Esa es la cuestión
Sesión ¿Amor o egoísmo? Esa es la cuestión
 
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdf
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdfFichas de Matemática DE SEGUNDO DE SECUNDARIA.pdf
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdf
 
Secuencia didáctica.DOÑA CLEMENTINA.2024.docx
Secuencia didáctica.DOÑA CLEMENTINA.2024.docxSecuencia didáctica.DOÑA CLEMENTINA.2024.docx
Secuencia didáctica.DOÑA CLEMENTINA.2024.docx
 
Actividad transversal 2-bloque 2. Actualización 2024
Actividad transversal 2-bloque 2. Actualización 2024Actividad transversal 2-bloque 2. Actualización 2024
Actividad transversal 2-bloque 2. Actualización 2024
 
DIGNITAS INFINITA - DIGNIDAD HUMANA; Declaración del dicasterio para la doctr...
DIGNITAS INFINITA - DIGNIDAD HUMANA; Declaración del dicasterio para la doctr...DIGNITAS INFINITA - DIGNIDAD HUMANA; Declaración del dicasterio para la doctr...
DIGNITAS INFINITA - DIGNIDAD HUMANA; Declaración del dicasterio para la doctr...
 
El Bullying.
El Bullying.El Bullying.
El Bullying.
 
Acuerdo segundo periodo - Grado Noveno.pptx
Acuerdo segundo periodo - Grado Noveno.pptxAcuerdo segundo periodo - Grado Noveno.pptx
Acuerdo segundo periodo - Grado Noveno.pptx
 
HISPANIDAD - La cultura común de la HISPANOAMERICA
HISPANIDAD - La cultura común de la HISPANOAMERICAHISPANIDAD - La cultura común de la HISPANOAMERICA
HISPANIDAD - La cultura común de la HISPANOAMERICA
 
4° SES COM MAR 09 Leemos una noticia del dengue e identificamos sus partes (1...
4° SES COM MAR 09 Leemos una noticia del dengue e identificamos sus partes (1...4° SES COM MAR 09 Leemos una noticia del dengue e identificamos sus partes (1...
4° SES COM MAR 09 Leemos una noticia del dengue e identificamos sus partes (1...
 
Aedes aegypti + Intro to Coquies EE.pptx
Aedes aegypti + Intro to Coquies EE.pptxAedes aegypti + Intro to Coquies EE.pptx
Aedes aegypti + Intro to Coquies EE.pptx
 
DIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJO
DIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJODIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJO
DIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJO
 
Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...
Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...
Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...
 

Análisis y gestion de riesgos

  • 1. 2010 NIVERSIDAD TECNOLOGICA DE PANAMÁ EGURIDAD DE 9/04/2010 GESTIÓN DE RIESGOS” Análisis y Gestión de Riesgos
  • 2. Análisis y Gestión de Riesgos UNIVERISDAD TECNOLÓGICA DE PANAMÁ SEDE REGIONAL DE CHIRIQUÍ FACULTAD DE SISTEMAS COMPUTACIONALES SEGURIDAD EN TECNOLOGIA DE COMPUTACION “ANALISIS Y GESTIÓN DE RIESGOS” ELABORADO POR: GADEAS, EDITH MARTINEZ, MANUEL STONESTREET, CHERYLL PRESENTADO A LA CONSIDERACIÓN DEL PROFESOR: RENE SALDAÑA FECHA DE ENTREGA: JUEVES, 28 DE ABRIL DE 2010
  • 3. Análisis y Gestión de Riesgos Índice Introducción I. Definición de Riesgos II. Proceso de Administración de Riesgos 1. Identificar los factores de Riesgo 2. Análisis de la Probabilidad de Riesgos 3. Desarrollo de estrategias para mitigar los riesgos o Invocar el plan de contingencias. o Gestionar la crisis. o Recuperarse de la crisis. 4. Supervisión de la Administración de los factores de riesgo Conclusiones Bibliografía
  • 4. Análisis y Gestión de Riesgos INTRODUCCIÓN Los riesgos de seguridad de información deben ser considerados en el contexto del negocio, y las interrelaciones con otras funciones de negocios, tales como recursos humanos, desarrollo, producción, operaciones, administración, TI, finanzas, etcétera y los clientes deben ser identificados para lograr una imagen global y completa de estos riesgos. Cada organización tiene una misión. En esta era digital, las organizaciones que utilizan sistemas tecnológicos para automatizar sus procesos o información deben de estar conscientes que la administración del riesgo informático juega un rol crítico. La meta principal de la administración del riesgo informático debería ser “proteger a la organización y su habilidad de manejar su misión” no solamente la protección de los elementos informáticos. Además, el proceso no solo debe de ser tratado como una función técnica generada por los expertos en tecnología que operan y administran los sistemas, sino como una función esencial de administración por parte de toda la organización. Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la vulnerabilidad, considerando la probabilidad y la importancia de ocurrencia. Por lo que podemos decir a grandes rasgos que la administración de riesgos es el proceso de identificación, evaluación y toma de decisiones para reducir el riesgo a un nivel aceptable. El análisis de riesgo informático es un elemento que forma parte del programa de gestión de continuidad de negocio (Business Continuity Management) En el análisis de riesgo informático es necesario identificar si existen controles que ayudan a minimizar la probabilidad de ocurrencia de la vulnerabilidad (riesgo controlado), de no existir, la vulnerabilidad será de riesgo no controlado. Dentro de la evaluación del riesgo es necesario realizar las siguientes acciones: Calcular el impacto en caso que la amenaza se presente, tanto a nivel de riesgo no controlado como el riesgo controlado y evaluar el riesgo de tal forma que se pueda priorizar, esto se realiza de forma cuantitativa (asignando pesos) ó de forma cualitativa (matriz de riesgos).
  • 5. Análisis y Gestión de Riesgos I. DEFINICIÓN DE RIESGOS Anteriormente se conocía riesgos como los eventos que suscitaban una posibilidad de fraude, sustracción de activos, faltas a la ética y la moral. Riesgos estaba únicamente referido a la gestión de riesgos físicos y cubiertos por pólizas de seguros. Nueva Visión: Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo. De manera cuantitativa el riesgo es una medida de las posibilidades de incumplimiento o exceso del objetivo planteado. Así definido, un riesgo conlleva dos tipos de consecuencias: ganancias o pérdidas. En lo relacionado con tecnología, generalmente el riesgo se plantea solamente como amenaza, determinando el grado de exposición a la ocurrencia de una pérdida (por ejemplo el riesgo de perder datos debido a rotura de disco, virus informáticos, etc.). La Organización Internacional por la Normalización (ISO) define riesgo tecnológico (Guías para la gestión de la seguridad de TI /TEC TR 13335-1, 1996) como: “La probabilidad de que una amenaza se materialice, utilizando vulnerabilidad existentes de un activo o un grupo de activos, generándole perdidas o daños”. En la definición anterior se pueden identificar varios elementos que se deben comprender adecuadamente para, por ende, comprender integralmente el concepto de riesgo manejado. Estos elementos son: probabilidad, amenazas, vulnerabilidades, activos e impactos.
  • 6. Análisis y Gestión de Riesgos A continuación se analiza cada uno de ellos:  Probabilidad: establecer la probabilidad de ocurrencia puede realizarse de manera cuantitativa o cualitativa, pero siempre considerando que la medida no debe contemplar la existencia de ninguna acción paliativa, o sea, debe considerarse en cada caso qué posibilidades existen que la amenaza se presente independientemente del hecho que sea o no contrarrestada. Existen amenazas, como por ejemplo incendios, para las cuales hay información suficiente (series históricas, compañías de seguros y otros datos) para establecer con razonable objetividad su probabilidad de ocurrencia. Otras amenazas presentan mayor dificultad en establecer cuantitativamente la probabilidad. Por ejemplo, el acceso no autorizado a datos; dónde se hacen estimaciones sobre la base de experiencias. Siguiendo con el ejemplo, para el personal interno del Centro de Cómputos (CPD), la probabilidad puede ser el 70%, para el personal de la organización, externo al CPD, del 45%, y para personas de fuera, el 80% (a través de acceso por Internet).  Amenazas: las amenazas siempre existen y son aquellas acciones que pueden ocasionar consecuencias negativas en la operativa de la empresa. Comúnmente se indican como amenazas a las fallas, a los ingresos no autorizados, a los virus, uso inadecuado de software, los desastres ambientales como terremotos o inundaciones, accesos no autorizados, facilidad de acceso a las instalaciones, etc. Las amenazas pueden ser de carácter físico o lógico, como ser una inundación en el primer caso, o un acceso no autorizado a una base de datos en el segundo caso.  Vulnerabilidades: son ciertas condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen llevan a esos activos a ser vulnerables.
  • 7. Análisis y Gestión de Riesgos Mediante el uso de las debilidades existentes es que las amenazas logran materializarse, o sea, las amenazas siempre están presentes, pero sin la identificación de una vulnerabilidad no podrán ocasionar ningún impacto. Estas vulnerabilidades son de naturaleza variada. A modo de ejemplo se citan las siguientes: falta de conocimiento del usuario, tecnología inadecuadamente probada (“testeada”), transmisión por redes públicas, etc. Una vulnerabilidad común es contar con antivirus no actualizado, la cual permitirá al virus actuar y ocasionar daños. Si el antivirus estuviese actualizado la amenaza (virus) si bien potencialmente seguiría existiendo no podría materializarse.  Activos: Los activos a reconocer son aquellos relacionados con sistemas de información. Ejemplos típicos son los datos, el hardware, el software, servicios, documentos, edificios y recursos humanos.  Impactos: las consecuencias de la ocurrencia de las distintas amenazas son siempre negativas. Las pérdidas generadas pueden ser financieras, no financieras, de corto plazo o de largo plazo. Se puede establecer que las más comunes son: la pérdida directa de dinero, la pérdida de confianza, la reducción de la eficiencia y la pérdida de oportunidades de negocio. Otras no tan comunes, felizmente, son la pérdida de vidas humanas, afectación del medio ambiente, etc. II. PROCESO DE ADMINISTRACIÓN DE RIESGOS El proceso de administración de riesgos es un proceso continuo, dado que es necesario evaluar periódicamente si los riesgos identificados y la exposición a los mismos calculada en etapas anteriores se mantienen vigentes. La dinámica en la cual se ven inmersa las organizaciones actualmente demanda este esfuerzo día a día. Es por eso que ante cada nuevo emprendimiento se realice en tempranas etapas (recomendable luego de fijar los objetivos) un análisis de riesgo del referido proyecto así como su impacto futuro en la estructura de riesgos de la organización. Elementos de la Gestión de Riesgos: 1. Identificar los factores de Riesgo
  • 8. Análisis y Gestión de Riesgos Se trata de visualizar el desarrollo y tomar notas de las cosas “malas” que podrían ocurrirnos. Es aconsejable el disponer de una lista con los problemas acaecidos en otros sistemas y revisarla. “Quien no conoce su pasado esta condenado a repetirlo” En este paso se identifican los factores que introducen una amenaza en la planificación del entorno informático. Los principales factores que se ven afectados son:  Creación de la planificación, que incluye: Planificación excesivamente optimista, planificación con tareas innecesarias, y organización de un entorno informático sin tener en cuenta áreas desconocidas y la envergadura del mismo.  La organización y gestión, que incluye: Presupuestos bajos, El ciclo de revisión/decisión de las directivas es más lento de lo esperado.  El entorno de trabajo, que incluye: Mal funcionamiento de las herramientas de desarrollo, espacios de trabajo inadecuados y la curva de aprendizaje de las nuevas tecnologías es más larga de lo esperado.  Las decisiones de los usuarios finales, que incluye: Falta de participación de los usuarios finales y la falta de comunicación entre los usuarios y el departamento de informática  El personal contratado, que incluye: Falta de motivación, falta de trabajo en equipo y trabajos de poca calidad.  Los procesos, que incluye: La burocracia, falta de control de calidad y la falta de entusiasmo. 2. Análisis de la Probabilidad de Riesgos El análisis de riesgo es un proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización o empresa. Es la identificación de las amenazas que acechan a los distintos componentes pertenecientes o relacionados con un sistema de información (activos) para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede afectar a la organización. Hay que ponerse en la piel del atacante e imaginar qué haría con sus conocimientos y recursos. Es importante plantear diferentes situaciones
  • 9. Análisis y Gestión de Riesgos dependiendo del perfil técnico del atacante o de sus recursos técnicos y humanos. Estos escenarios de ataque o dramatizaciones son importantes para evaluar impactos y riesgos. Estructura de la Seguridad Informática La historia de la seguridad informática se remonta a los tiempos de los primeros documentos escritos. De hecho, la necesidad de información segura tuvo su origen en el año 2000 antes de Cristo. Los egipcios fueron los primeros en utilizar jeroglíficos especiales para codificar la información y, según paso el tiempo, las civilizaciones de Babilonia, Mesopotamia y Grecia inventaron formas de proteger su información escrita. La codificación de la información, que es el base del cifrado, fue utilizada por Julio Cesar, y durante toda la historia en periodos de guerra, incluyendo las guerras civiles y revolucionarias, y las dos guerras mundiales. Una de las máquinas de codificación mejor conocidas fue la alemana Enigma, utilizada por los alemanes para crear mensajes codificados en la Segunda Guerra Mundial. Con el tiempo, y gracias a los esfuerzos del proyecto Ultra de los Estados Unidos de América, entre otros, la capacidad de descifrar los mensajes generados por los alemanes marcó un éxito importante para los aliados. En los últimos diez años, la importancia de la seguridad informática se ha puesto de manifiesto por algunas historias. Una de ellas fue la del gusano de Internet, en 1988, que se extendió por decenas de miles de computadores, como resultado de la obra de un hacker llamado Robert Morris. Había un pirata informático en 1995 en Alemania que se introdujo en casi 30 sistemas a partir de un objetivo que se había propuesto a sí mismo de casi 500. Más recientemente, en febrero de 1995, el arresto del pirata informático más buscado, Kevin Nitnick, reveló las actividades criminales que incluían el robo de códigos, de información y de otro tipo de datos secretos durante años. Claramente, la amplia utilización de los sistemas informáticos ha puesto en evidencia la importancia de la seguridad informática. El objetivo principal de la seguridad informática es proteger los recursos informáticos del daño, la alteración, el robo y la pérdida. Esto incluye los equipos, los medios de almacenamiento, el software, los listados de impresora y en general, los datos. Una efectiva estructura de seguridad informática se basa en cuatro técnicas de administración de riesgos, mostradas en el siguiente diagrama:
  • 10. Análisis y Gestión de Riesgos Figura No. 3 Estructura de la seguridad informática  Estrategias y políticas: Estrategias de administración para seguridad informática y políticas, estándares, guías o directivos usados para comunicar estas estrategias a la organización.  Administración de la organización: Procesos que se dirigen hacia políticas profesionales y programas de capacitación, administración de cambios y control, administración de seguridad y otras actividades necesarias.  Monitorización de eventos: Procesos reactivos que permite a la administración medir correctamente la implementación de políticas e identificar en que momento las políticas necesitan cambios.  Técnología informática: Es la tecnología necesaria para proveer la apropiada protección y soporte en los distintos procesos involucrados en la organización. La seguridad informática abarca un amplio rango de estrategias y soluciones, tales como: o Control de acceso: Una de las líneas de defensa más importantes contra los intrusos indeseados es el control de acceso. Básicamente, el papel del control de acceso es identificar la persona que desea acceder al sistema y a sus datos, y verificar la identidad de dicha persona. La manera habitual de controlar el acceso a un sistema es restringir la entrada a cualquiera que no tenga un nombre de usuario y una contraseña válidos. Las contraseñas son un ejemplo de una forma simple pero efectiva de control de acceso. El control de acceso es efectivo para mantener a las personas desautorizadas fuera del sistema. Sin embargo, una vez que alguien está dentro, la persona no debería tener acceso libre a todos los programas, archivos e información existente en el sistema. El control de acceso discrecional, a veces abreviado por el acrónimo DAC, se realiza en muchos sistemas, y es una parte importante de cualquier acceso donde el acceso a los archivos y programas se concede en función de la clase de permisos otorgados a un usuario o un perfil de usuarios. Es discrecional en tanto que un administrador puede especificar la clase de acceso que decide dar a otros usuarios del sistema.
  • 11. Análisis y Gestión de Riesgos Esto difiere de otra clase de controles más restrictiva, control de acceso obligatorio (MAC), que proporciona un control mucho más rigido de acceso a la información del sistema. o Virus informáticos: La prevención y control de los efectos producidos por las diferentes clases de virus y programas destructivos que existen. o Planificación y administración del sistema: Planificación, organización y administración de los servicios relacionados con la informática, así como políticas y procedimientos para garantizar la seguridad de los recursos de la organización. o Cifrado: La encriptación y la desencriptación de la información manipulada, de forma que sólo las personas autorizadas pueden acceder a ella. o Seguridad de la red y de comunicaciones: Controlar problemas de seguridad a través de las redes y los sistemas de telecomunicaciones. o Seguridad física: Otro aspecto importante de la seguridad informática es la seguridad física de sus servicios, equipos informáticos y medios de datos reales; para evitar problemas que pueden tener como resultado: Pérdida de la productividad, pérdida de ventaja competitiva y sabotajes intencionados. Algunos de los métodos de prevenir el acceso ilegal a los servicios informáticos incluyen:  Claves y contraseñas para permitir el acceso a los equipos.  Uso de cerrojos y llaves.  Fichas ó tarjetas inteligentes.  Dispositivos biométricos (Identificación de huellas dactilares, lectores de huellas de manos, patrones de voz, firma/escritura digital, análisis de pulsaciones y escáner de retina, entre otros). Para desarrollar un análisis efectivo de la probabilidad de los riesgos se debe tener en cuenta lo siguiente:  Evaluar la probabilidad de tener el problema.  Evaluar los efectos sobre el proyecto.  Clasificar los riesgos en base a la EXPOSICIÓN AL RIESGO, que se calcula como: Probabilidad * Efecto  Como consecuencia de esta clasificación habrán riesgos importantes y otros menores. 3. Desarrollo de estrategias para mitigar los riesgos Anticiparse a los hechos: Imagínese el peor escenario posible. Piense cómo evitarlo. Existen normas, procedimientos, protocolos de seguridad existentes que pueden ayudar a crear y basar (valga la redundancia) sus procedimientos internos para alejar la posibilidad de riesgo. Si su empresa opera a través de internet o telecomunicaciones no olvide que es más probable tener una fuga de información o
  • 12. Análisis y Gestión de Riesgos problema interno de seguridad con su personal a que un hacker intente vulnerar sus sistemas, el fraude interno está a la orden del día. Realice periódicamente perfiles socioeconómicos de su personal, tenga entrevistas con cada uno de sus empleados con una frecuencia trimestral contando con apoyo de un profesional en psicología laboral con experiencia previa y capacitado en PNL (nunca está de más que en estas entrevistas participe un auditor en seguridad, el auditor debe ser capaz de percibir a un “insider” (Empleado desleal quien por motivos de desinterés, falta de capacidad intelectual y/o analítica, problemas psicológicos o psiquiátricos, corrupción, colusión u otros provoca daños en forma deliberada en la empresa en que trabaja). Regulaciones y Normas que tratan el riesgo Comunicación “A” 4609 del BCRA para entidades Financieras • Requisitos mínimos de gestión, implementación y control de los riesgos relacionados con tecnología informática y sistemas de información. ISO/IEC 27001 • Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información (SGSI) ISO/IEC 27005 • Esta Norma proporciona directrices para la Gestión del riesgo de Seguridad de la Información en una Organización. Sin embargo, esta Norma no proporciona ninguna metodología específica para el análisis y la gestión del riesgo de la seguridad de la información. Basilea II • Estándar internacional que sirva de referencia a los reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la protección de las entidades frente a los riesgos financieros y operativos. Ley Sarbanes Oxley (SOX) • Impulsada por el gobierno norteamericano como respuesta a los mega fraudes corporativos que impulsaron Enron, Tyco International, WorldCom y Peregrine Systems. Es un conjunto de medidas tendientes a asegurar la efectividad de los controles internos sobre reportes financieros. Cómo mitigar los riesgos en la seguridad de los datos al hacer outsourcing global Llevar a cabo una detallada evaluación previa de cada proveedor y cada sitio de entrega antes de la firma.
  • 13. Análisis y Gestión de Riesgos Haga su tarea. Revise las políticas de seguridad de información corporativas y las políticas de protección de la instalación física de los proveedores para garantizar todos los riesgos están cubiertos. Asegúrese de que existen controles de seguridad de red y que el sitio de la prestación está certificado internacionalmente de acuerdo con normas reconocidas de cumplimiento de seguridad incluyendo ISO 27001, BS 7799, SAS 70 y otras. Establecer un programa de evaluación y auditoría. Se recomienda la revisión y la realización de auditorías en las políticas de seguridad del proveedor de servicio remoto sobre una base anual como mínimo. Con mayor frecuencia, considere la posibilidad de realizar un examen sobre el terreno de la zona y lugar específico utilizado para llevar a cabo los negocios de clientes a razón de dos veces al año, o cuantas considere oportunas de acuerdo con las necesidades de los proyectos y los riesgos. Crear obligaciones en materia de seguridad en el contrato de externalización. Recomendamos a los clientes que todos los controles relacionados con la seguridad figuren en el contrato. En concreto, éste incluirá temas como un acuerdo de no divulgación, la verificación de antecedentes personales y evaluaciones de seguridad. Debe figurar en el contrato que el personal del proveedor de servicios no se puede destinar a un competidor directo durante un determinado período de tiempo, y también deben figurar las definiciones de violación de la seguridad y sus responsabilidades derivadas. Construir una cultura de seguridad en la organización. Por encima de todo, una cultura de la seguridad es primordial y se inicia con un grupo de personas que impulsen esta iniciativa y refuercen constantemente el mensaje. Aquí hay cuatro iniciativas que deben considerarse para establecer una cultura de la seguridad: a. Equipo de seguridad del cliente: los clientes deslocalizados han comenzado a crear los equipos de seguridad de TI, o, alternativamente, aumentar el número de personas en esos equipos. El equipo de seguridad es consciente de las cuestiones que puedan surgir y, por tanto, publica las políticas de seguridad aplicables a los prestadores de servicios y ayuda a asegurar los controles. El equipo asegura la formación continua de las personas involucradas por parte del cliente y por parte del proveedor de servicios. b. Visitas de clientes: Recomendamos un calendario de visitas. Estas visitas ayudan los equipos del proveedor de servicios a apreciar los
  • 14. Análisis y Gestión de Riesgos negocios de sus clientes y sus preocupaciones. Los clientes también deberían incluir la seguridad en la agenda de sus conversaciones con el personal del proveedor de servicios. c. Evaluaciones formales: En general, las evaluaciones no se dan con regularidad suficiente y se deben realizar al menos una vez al año. Las evaluaciones mantienen abiertos los temas clave en cualquier debate sobre seguridad y mejoran la rendición de cuentas. Además, los proveedores de servicios deben realizar una evaluación voluntaria una vez al año y presentar los resultados a los clientes. d. Formación continua: La mezcla de personas sin experiencia en el trabajo y de múltiples orígenes culturales acentúa la necesidad de un continuo programa de educación en torno a las políticas de seguridad corporativas. Invocar el plan de contingencias. Sí algún factor de riesgo excede los límites de control habrá de tomarse las medidas previstas. Es habitual varios niveles limites, – ante los primeros excesos se notifique el problema a nivel operativo, – si este no se corrige, se excede el siguiente límite, se pondrá en marcha el plan de contingencia previsto. Gestionar la crisis. El que la situación de crisis este prevista no quiere decir que podamos relajarnos, más bien al contrario. Deberemos estar más atentos al control de la crisis y del resto. Puedes suceder que el plan de contingencia: – funcione de acuerdo a lo previsto.
  • 15. Análisis y Gestión de Riesgos – fracase. En este caso pasaremos a una situación de crisis (vista en el tema anterior) Recuperarse de la crisis. Si el plan de contingencia ha ido de acuerdo a lo previsto como si no, deberemos:  Recompensar a las personas a las que se ha forzado a trabajar más duro (ver tema anterior),  Replanificar el proyecto con los retrasos y los costes que esa situación hayan provocado. 4. Supervisión de la Administración de los factores de riesgo La supervisión de riesgos normalmente valora cada uno de los riesgos identificados para decidir si este es más o menos probable y si han cambiado sus efectos. Esto no se puede observar de forma directa, por lo que se tiene que buscar otros factores para dar indicios de la probabilidad de riesgos. Estos factores dependen de los tipos de riesgos. Los síntomas deberán de cuantificarse de forma precisa mediante medidas objetivas y puntuales. Hay que disponer de un sistema de trazabilidad entre los factores de riesgo y los problemas asociados, así como los límites de control.
  • 16. Análisis y Gestión de Riesgos CONCLUSIONES Mas allá de todo lo expuesto a lo largo de este documento, no se debe olvidar nunca que los riesgos cohabitan continuamente con el diario quehacer, siempre están latentes, aun cuando no se los pueda o no se los quiera identificar. Es por eso que independientemente de las herramientas utilizadas para la administración de los riesgos, lo más importante es que exista conciencia que la administración del riesgo informático debe ser una actividad prevista y llevada a cabo al igual que la implementación y el funcionamiento de sistemas de información.
  • 17. Análisis y Gestión de Riesgos Recordar que la única manera de evitar un riesgo es eliminarla, o las actividades que lo genera. Hay actividades que pueden ser eliminadas y otras no, son necesarias. Por lo tanto se está tratando, es imprescindible la adecuada administración del riesgo informático.
  • 18. Análisis y Gestión de Riesgos RECOMENDACIONES La seguridad informática ha evolucionado sustancialmente durante los últimos 50 años. Los primeros sistemas elaborados en los años 1940’ y 1950’ no contaban con ninguna seguridad y aún así, por distintas razones, funcionaban bien. Pero los sistemas actuales forman parte de un mundo totalmente distinto; han sido diseñados en función de distintos controles de seguridad que nos protegen de problemas de seguridad inadvertidos y de agentes maliciosos. 1. Conviértase en experto o busque la ayuda de expertos 2. Entienda su negocio 3. Catalogue sus bienes 4. Bloquee los escritorios 5. Bloquee el perímetro 6. Establezca planes de contingencia
  • 19. Análisis y Gestión de Riesgos BIBLIOGRAFIA http://www.basc-costarica.com/documentos/riesgosinformatica.pdf http://www.cabinas.net/informatica/analisis_riesgos_informaticos.asp http://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf http://seguridad-informacion.blogspot.com/2009/03/como-mitigar-los-riesgos- en-la_04.html