Presentacion 2

EJERCITO NACIONAL
CENTRO DE EDUCACIÓN MILITAR
ESCUELA DE COMUNICACIONES MILITARES
ESPECIALIZACIÓN EN SEGURIDAD FÍSICA Y DE LA
INFORMÁTICA

Módulo físico Módulo de
seguridad
electrónica

Módulo de Seminario de
seguridad profundización
informática

Ing. Raúl Iván Bustos Ladino

Módulo físico
CRITERIOS DE DE TRABAJO

CALIFICACIÓN

Evaluaciones y
trabajos en clase 30%

Tareas 30%

Parcial final 40%


Módulo físico

INTRODUCCIÓN A LA SEGURIDAD

Construir en consenso los conceptos básicos y generales
relacionados con seguridad, de tal forma que sean
utilizados apropiadamente durante todo el proceso de
formación

Módulo físico

INTRODUCCIÓN A LA SEGURIDAD
NUCLEOS TEMÁTICOS

1. Definición y elementos de la Seguridad

2. Conceptos de seguridad

3. Seguridad física y sus elementos

4. Seguridad en una Empresa

Análisis de riesgos

Políticas de seguridad

5. Normatividad


Módulo físico

QUÉ ES SEGURIDAD

Cómo se garantiza
un sistema seguro


Módulo físico

QUÉ ES SEGURIDAD

Del latín securus

Es una característica de cualquier sistema (informático o
no) que nos indica que ese sistema está libre de todo
peligro, daño o riesgo, y que es, en cierto
modo, infalible.

Fiabilidad (probabilidad de que un sistema se comporte
tal y como se espera de él)


Módulo físico

Cómo se mantiene
un sistema fiable (seguro)

Confidencialidad

Integralidad Disponibilidad


Módulo físico

Ejemplos de prioridad
En un sistema militar se antepondrá la confidencialidad de
los datos almacenados o transmitidos sobre su
disponibilidad: seguramente, es preferible que alguien borre
información confidencial, a que ese mismo atacante pueda
leerla
En un entorno bancario, la faceta que más preocupa a los
responsables del sistema es la integridad de los datos,
frente a su disponibilidad o su confidencialidad: es
menos grave que un usuario consiga leer el saldo de otro
que el hecho de que ese usuario pueda modificarlo.

En un sistema comercial, un departamento premiará
la disponibilidad frente a la confidencialidad:
importa poco que un atacante lea una unidad, pero
que esa misma unidad no sea leída por usuarios
autorizados va a suponer una pérdida de tiempo y
Ing. Raúl Iván Bustos Ladino dinero.

Módulo físico

Servicios triple A

AUTORIZACIÓN

AUTENTICACIÓN

AUDITORÍA

Módulo físico

Servicios triple A

AUTORIZACIÓN
Propiedad

AUTENTICACIÓN Conocimiento
Uno - Dos
Innatos

AUDITORÍA


Módulo físico

“Para proteger algo primero debo conocerlo”

“La desconfianza
¿Atacante es la madre de la
o seguridad”
Intruso? Aristófanes

Los principales ataques vienen de los
“amigos” porque son los que me conocen


Módulo físico

Seguridad Integral
¿Qué quiero proteger?


Módulo físico

Que quiere proteger

Perímetro de trabajo

Políticas de capacitación
(capacitación por rol de
manera independiente)


Módulo físico

Contexto
•Seguridad social: Ley 100 de 1991.

•Política de defensa y seguridad democrática

•Programa de seguridad ciudadana

•Departamento Administrativo de Seguridad

•Consejo Colombiano de seguridad

•Ministerio de Defensa Nacional

•Policía Nacional y Ejercito Nacional

Módulo físico

Algunos conceptos de
Seguridad Física

Sistema de información.
Defensa.

Amenaza.
Impacto.

Vulnerabilidad. Incidente de seguridad.

Riesgo.


Módulo físico

Algunos conceptos
de Seguridad Física

Sistema de información.
Son los Recursos Informáticos (Físicos y
Lógicos) y Activos de Información de que
dispone la empresa u organización para su
correcto funcionamiento y la consecución de
los objetivos propuestos por su Dirección.


Módulo físico

Algunos conceptos

Amenaza.
Cualquier evento que pueda provocar daño
en los Sistemas de
información, produciendo a la empresa
pérdidas materiales, financieras o de otro
tipo. Las amenazas son múltiples desde una
inundación, un fallo eléctrico o una
organización criminal o terrorista.

Módulo físico

Algunos conceptos

Vulnerabilidad.
Cualquier debilidad en los Sistemas de
Información que pueda permitir a las
amenazas causarles daños y producir
pérdidas. Generalmente se producen por
fallos en los sistemas lógicos, aunque
también corresponden a defectos de
ubicación e instalación.

Módulo físico

Algunos conceptos

Riesgo.
Es la probabilidad de que una amenaza se
materialice sobre una vulnerabilidad del
Sistema de información, causando un
impacto en la empresa. Evidentemente el
riesgo es característico para cada amenaza y
cada sistema, pudiéndose disminuir
tomando las medidas adecuadas.

Módulo físico

Algunos conceptos
Incidente de seguridad.
Cualquier evento que tenga, o pueda tener, como
resultado la interrupción de los servicios
suministrados por un Sistema de Información y/o
pérdidas físicas, de activos o financieras. En otras
palabras la materialización de una amenaza, pues
como no existe el riesgo cero siempre es posible
que una amenaza deje de ser tal para convertirse
en una realidad.

Módulo físico

Algunos conceptos

Impacto.
Es la medición y valoración del daño que podría
producir a la organización un incidente de
seguridad. La valoración global se obtendrá
sumando el coste de reposición de los daños
tangibles y la estimación, siempre subjetiva, de
los daños intangibles tales como la calidad del
servicio y la imagen de la organización.

Módulo físico

Algunos conceptos

Defensa.
Cualquier medio, físico o lógico, empleado
para eliminar o reducir un riesgo. Debe
realizarse una valoración cuantitativa de su
coste. Muchas veces se la conoce como
medida de seguridad o prevención. Su
objetivo es reducir el riesgo o el impacto.


Módulo físico

Algunos conceptos

Sistema de Amenaza.
información. Expuesto

Aprovecha

Riesgo.
Se convierte
Incidente de en

seguridad. Vulnerabilidad.

Genera un
Impacto.

Módulo físico

Seguridad Física

NO

¿Es suficiente?


Módulo físico

Seguridad Física

Consiste en la "aplicación de barreras físicas y
procedimientos de control, como medidas de
prevención y contramedidas ante amenazas a
los recursos e información confidencial“

Ingeniería de
seguridad


Módulo físico

Seguridad Física

Costo del activo a proteger Impacto que se protege

Análisis del riesgo
Rubro destinado para tal fin
(coherencia con el entrono)


Módulo físico

Seguridad Física
La seguridad física describe las medidas que previenen o detienen a
intrusos antes de que accedan a un recurso o información almacenada
en medios físicos.
Elementos
de riesgo

Físico Humano Información Lógico


Módulo físico

Seguridad Física

Obstáculos

Elementos
Ingeniería
Detección
de
seguridad

Respuesta
para
repeler, capt
urar o
frustrar

Módulo físico

Seguridad Física

Depende de las máquinas (principalmente)

Conocimiento del enemigo

Seguridad de área

Seguridad de equipos (físico y lógico)

Seguridad de usuario

Capacitación


Módulo físico

Seguridad Física
Seguridad de área
Definir perímetro de seguridad física (CONTROLES DE ACCESO)

Robustecer las fuentes de suministro

Definir verdaderas necesidades

Definir perfiles de usuario

Acciones de respuesta a ataques


Módulo físico

Seguridad Física
Seguridad de área
CONTROLES DE ACCESO
El control de acceso no sólo requiere la capacidad de identificación, sino
también asociarla a la apertura o cerramiento de puertas, permitir o negar
acceso basado en restricciones de tiempo, área o sector dentro de una empresa
o institución.
Animales Guardias

Protección Sistemas
electrónica biométricos
Detectores
de metales

Módulo físico

Seguridad Física
Seguridad de área
CONTROLES DE ACCESO

El Servicio de Vigilancia es el encargado del control de acceso de todas las personas
al edificio (incluyendo vehículos). Este servicio es el encargado de colocar los
guardias en lugares estratégicos para cumplir con sus objetivos y controlar el acceso
del personal.

Las personas se identifican por algo que poseen (credencial) o que saben

Credenciales: NORMAL TEMPORAL CONTRATISTA VISITA

Ventajas VS desventajas


Módulo físico

Seguridad Física
Seguridad de área
CONTROLES DE ACCESO



Módulo físico

Seguridad Física
Seguridad de área
CONTROLES DE ACCESO

200 millones de receptores olfativos

Olfato 10.000 veces mas sensible que el gusto

Módulo físico

Seguridad Física
Seguridad de área
CONTROLES DE ACCESO
Seguridad electrónica: Se llama así a la detección de robo, intrusión, asalto
e incendios mediante la utilización de sensores conectados a centrales de alarmas.

Barreras Infrarrojas y
de Micro-Ondas

Hasta 150 metros

Inmunidad


Módulo físico

Seguridad Física
Seguridad de área
CONTROLES DE ACCESO

Seguridad electrónica

Detectores Pasivos
Detector Sin Alimentación
Ultrasónico
(40 m2)


Módulo físico

Seguridad Física
Seguridad de área
CONTROLES DE ACCESO

Circuitos Cerrados de Televisión Edificios Inteligentes


Módulo físico

Seguridad Física
Seguridad de área

“CONTROLES DE ACCESO”
Sonorización y Detección y extinción
Dispositivos Luminosos de incendios


Módulo físico

Seguridad Física
Seguridad de área
CONTROLES DE ACCESO

Seguridad electrónica VENTAJAS Y DESVENTAJAS

Definir
perímetro
y
Definir
seguridad


Módulo físico

Seguridad Física
Seguridad de área
CONTROLES DE ACCESO
Biometría: es la parte de la
biología que estudia en forma
cuantitativa la variabilidad
individual de los seres vivos
utilizando métodos
estadísticos".

La Biometría es una tecnología
que realiza mediciones en
forma electrónica, guarda y
compara características únicas
para la identificación de
personas. Ventajas VS desventajas

Módulo físico

Seguridad Física

Contra robo Contra fuego

Los incendios son causados por el uso inadecuado de
combustibles, fallas de instalaciones eléctricas
defectuosas y el inadecuado almacenamiento y
Temperatura traslado de sustancias peligrosas. (Recomendaciones
y Humedad detección extinción y locativas)

Contra inundaciones
La temperatura no debe
sobrepasar los 18º C y el limite
de humedad no debe superar el Se las define como la invasión de agua por exceso de
65% para evitar el deterioro. escurrimientos superficiales o por acumulación en
terrenos planos, ocasionada por falta de drenaje ya
sea natural o artificial. (Recomendaciones locativas)

Módulo físico

Seguridad Física
Alimentos y bebidas Instalaciones eléctricas
(recomendaciones)


Módulo físico

Seguridad Física

Técnicas salami

Módulo físico

Seguridad Física
Seguridad de usuario
Ergometría
Integridad Es una disciplina que se ocupa
de estudiar la forma en que
física interactúa el cuerpo humano
con los artefactos y elementos
que lo rodean, buscando que
esa interacción sea lo menos
agresiva y traumática posible

Bienestar


Módulo físico

Seguridad Física

¿DE QUÉ NOS QUEREMOS PROTEGER?
Desastres Geofísicos
Naturales
Hidrológicos

Meteorológicos


Módulo físico

Seguridad Física

PERSONAS (Interno y externo)
Interno

Consiste en la manipulación de las
personas para que voluntariamente
realicen actos que normalmente no
harían. Se combate con ingeniería
social y capacitación


Módulo físico

Seguridad Física

PERSONAS (Interno y externo)
Externo

Ladrones

Ex-empleados

Delincuentes
informáticos Terroristas


Módulo físico

Seguridad Física
Ataques a la seguridad

Fuente Destino Fuente Destino Fuente Destino
Flujo Normal Interrupción
Intruso
Intercepción

Fuente Destino Fuente Destino

Intruso Intruso
Modificación Fabricación

Módulo físico

Seguridad al interior de la organización

¿Quien administra la seguridad?


Módulo físico

Seguridad al interior de la Empresa

Una organización se concibe como un sistema diseñado
para lograr metas y objetivos por medio de los recursos
físicos y humanos.

Jerárquica
TIPOS DE Funcional
ORGANIZACIÓN

Mixta


Módulo físico

Organización jerárquica
Es una forma de organización basada en la autoridad de tal manera que cada miembro de
la organización sabe quiénes están por debajo de él y quiénes por encima.

Ventajas Desventajas
Mayor facilidad en la toma de Es rígida e inflexible.
decisiones y en la ejecución de
las mismas. La organización depende de hombres
clave, lo que origina trastornos.
No hay conflictos de autoridad ni
fugas de responsabilidad. No fomenta la especialización.

Es claro y sencillo. Los ejecutivos están saturados de
trabajo, lo que ocasiona que no se
La disciplina es fácil de dediquen a sus labores directivas, sino,
mantener. simplemente de operación.


Módulo físico

Organización jerárquica


Módulo físico

Organización funcional
Se basa en la especialización, de tal forma que una persona desarrolla una sola función en la
cual es especialista y puede recibir órdenes de otros especialistas a los cuales está
subordinada. Estos jefes sólo darán órdenes relacionadas con su especialidad.

Ventajas
Mayor especialización.

Se obtiene la más alta eficiencia de la persona.

La división del trabajo es planeada y no incidental.

El trabajo manual se separa del trabajo intelectual.

Disminuye la presión sobre un sólo jefe por el número
de especialistas con que cuenta la organización.


Módulo físico

Organización funcional
Desventajas:
Dificultad de localizar y fijar la
responsabilidad, lo que
afecta seriamente la disciplina y moral
de los trabajadores por contradicción
aparente o real de las ordenes.

Se viola el principio de la unida de
mando, lo que origina confusión y
conflictos.

La no clara definición de la autoridad da
lugar a rozamientos entre jefes.


Módulo físico

Organización mixta
Este modelo intenta aprovechar las ventajas de los dos modelos anteriores y eliminar sus
inconvenientes. Mantiene una estructura central jerárquica, pero aplicando una mayor
especialización. Se crean unos niveles consultivos “staff”. A estos niveles consultivos o “staff”
se utilizan para asesorar a los distintos niveles jerárquicos. Los componentes de los niveles
consultivos no tienen autoridad jerárquica.

Desventajas
Ventajas
Las decisiones son más lentas.
Permite el uso de especialistas que
asesoran diversos departamentos.
El personal de “staff” puede entrometerse
en cuestiones de control
Se mantienen la unidad de
administrativo, introduciendo un factor de
mando, puesto que casi nunca una
confusión.
persona depende de más de una.
El uso de “staff” especializados
incrementan los costes de administración
de la empresa.

Módulo físico

Empresa
Es una organización económica básica encargada de satisfacer las
necesidades de un mercado mediante la utilización de recursos materiales y
humanos.
Según la actividad Según la forma
económica jurídica

Según la Según el destino de
dimensión Clasificación los beneficios

Según la titularidad Según el ámbito de
del capital la actividad


Módulo físico

Empresa
Según la actividad
económica

Sector primario Sector secundario Sector terciario
(extractivo) (transformación materia prima) (servicios)


Módulo físico

Empresa
Según la forma
jurídica

Individuales
Societarias

Generalmente constituidas por varias
personas. Dentro de esta clasificación están:
La sociedad anónima (SA), la sociedad
limitada (SL), la colectiva, la sociedad
comendataria y las sociedades de economía
social (cooperativa y sociedad laboral).


Módulo físico

Empresa
Según la Según el destino de
dimensión los beneficios
Microempresa: si posee menos de 10
trabajadores Con ánimo de lucro
Pequeña: si tiene menos de 50
Mediana: si tiene un número entre 50 y 250 Sin ánimo de lucro
Grande: si poseen más de 250.
Según el ámbito de
Según la titularidad la actividad
del capital
Locales Regionales
Púbicas Privadas Mixtas
Nacionales Multinacionales


Módulo físico

Organigrama
Es la representación gráfica de
la estructura organizativa de
una empresa, permite obtener
una idea uniforme acerca de
una organización.

El organigrama tiene doble
finalidad: desempeña un papel
informativo y es un
instrumento para el análisis de
las particularidades esenciales
de la empresa representada.


Módulo físico

Organigrama


Módulo físico

Departamentos de una empresa
Son centros de trabajo que se encargan de una actividad concreta
dentro de la empresa.

Dirección y recursos humanos Comercial

Finanzas y administración Sistemas de
información
Producción y logística


Módulo físico

Departamento de seguridad
Su finalidad es establecer una estructura
Garantiza la protección de integral por niveles y políticas de
las personas, de los seguridad, análisis de riesgos, administración
bienes y propender por el de recursos, garantizar la protección de las
normal funcionamiento personas, de los bienes y normal
de los servicios. funcionamiento de los servicios.

Equipo interdisciplinario

Tiene multitud de “elementos”
repartidos por toda la empresa y
tiene personal de seguridad.


Módulo físico

Objeto de protección
Personal propio, usuarios y clientes, activos
materiales propios, activos inmateriales
propios, tecnología, imagen y finanzas.

(A LA MEDIDA)


Módulo físico

Las tareas encomendadas son

•servicios de vigilancia
•servicios de protección personal
•protección física
•protección electrónica
•Capacitación
•Diseño de planes operativos
•Ordenes de puesto
•Cuadrantes de servicio
•Inspecciones de material de extinción de incendios y salidas de
emergencia.
•Inspecciones de aparatos de seguridad contra intrusión.


Módulo físico

Las tareas encomendadas son
•Medios (vehículos, radios, linternas, etc.).
•Actualización de normativa referente a seguridad.
•Gestión de alarmas.
•Establecer niveles de acceso.
•Emisión de credenciales y autorizaciones.
•Gestión de visitas
•Normativa interna.
•Previsión de gastos.
•Recomendaciones sobre mejoras del servicio.
•Asesoría en materia de seguridad.
•Información y colaboración con las Fuerzas y Cuerpos de Seguridad del estado.
•Informes internos.


Módulo físico

Dirección de seguridad
Creada para la consecución de los objetivos en el orden y en los
tiempos requeridos, determinará los recursos humanos y
presupuestarios existentes así como las necesidades, tanto
organizativas como de medios.

Director de seguridad Ingeniero

“EL CEREBRO”


Módulo físico

Director de seguridad
Fases estructurales
Establecer
prioridades y
plazos

Evaluación Política de
de riesgos seguridad

Delegar
Actuación responsabilidades y
sobre los recursos
riesgos Autoridad mía, responsabilidad
compartida


Módulo físico

Funciones director de seguridad
Es el máximo responsable de la Seguridad y Protección de las personas y los bienes.

Le corresponde el análisis de situaciones de riesgo y la planificación y programación
de las actuaciones precisas para la implantación y realización de los servicios de
seguridad.

La organización, dirección e inspección del personal y servicios de seguridad propia y
concertada con empresa privada.

La propuesta de los sistemas de seguridad que resulten pertinentes, así como la
supervisión de su utilización, funcionamiento y conservación.

La coordinación de los distintos servicios de seguridad que de ellos dependan con
actuaciones propias de protección civil, en situaciones de emergencia, catástrofe o
calamidad pública.

Módulo físico

Asegurar la colaboración de los servicios de seguridad con los de las
correspondientes dependencias de las Fuerzas y Cuerpos de Seguridad.

En general, velar por la observancia de la regulación de seguridad aplicable.

Adoptar las medidas necesarias referentes a la elaboración de un protocolo
para la colaboración con los servicios de extinción de incendios de cada uno de
los municipios en donde haya un Centro.

Elaborar los procedimientos operativos y las órdenes de puesto.

Canalizar hacia las dependencias de las fuerzas y cuerpos de Seguridad las
comunicaciones. Comparecer a las reuniones informativas o de coordinación a
que fueren citados por las autoridades policiales competentes.

Módulo físico

Elaborará los documentos pertinentes a servicios extraordinarios, festivos, jornadas
nocturnas, turnicidad y/o jornadas especiales.

Firmará, previa su comprobación, las comisiones de servicio que motiven
indemnizaciones por locomoción y dietas, cumplimentadas por los Jefes de Unidad,
tramitándolas con posterioridad al departamento o servicio económico.

Adoptará las medidas necesarias para que los temas de intendencia y logística
propuestos por los Jefes de Unidad encuentren respuesta.

Elaborará propuestas de sustituciones de personal de Vigilancia en periodo estival,
permisos, licencias, bajas, y firmará los documentos correspondientes a su
incorporación al servicio


Módulo físico


Central de control de seguridad


Módulo físico


(A LA MEDIDA)



Módulo físico

Es el proceso de identificar, analizar, valorar y mitigar o transferir
el riesgo
Responderlas siguientes
preguntas

¿Que podría ocurrir? (amenaza)
¿Sí ocurre, cuánto daño podría causar? (impacto)
¿Qué tan a menudo podría ocurrir?
¿Qué tan ciertas son las respuestas a las anteriores preguntas?


Módulo físico


El Análisis de Riesgo realiza una predicción del futuro,
basándose en el pasado histórico y un análisis cuidadoso
de los eventos.

Contribuyen al Análisis de Riesgo, áreas relacionadas con
Epidemiología, Estadística, Clínica y Patología, Economía,
Teoría de Decisiones, Administración, Estudios Ambientales
y Legales, entre otras.


Módulo físico

El Análisis de Riesgo no reemplaza la experiencia empírica, por el
contrario, con frecuencia gran cantidad de información se obtiene a
partir de juicios de expertos.

Los valores asignados a las probabilidades pueden ser, en algún
grado subjetivos si se obtienen de juicios de expertos o mas
objetivos si existen datos o registros cuantitativos
(informes, encuestas)

Hay que tener cuidado porque las predicciones nunca darán la
certeza absoluta.

Módulo físico

Los modelos predictivos empleados para el Análisis de
Riesgo son perfectibles, de acuerdo con mejores
antecedentes. Por eso, nunca pensemos que hemos
llegado al último.

El cálculo de los valores puede proveer de antecedentes
poco seguros, pero al menos entrega datos que se pueden
evaluar, discutir e intercambiar con las contrapartes,
tratando de llegar al consenso.


Módulo físico

ETAPAS

PLANEACIÓN IDENTIFICACIÓN
DE RECURSOS

IDENTIFICACIÓN DE
AMENAZAS Y
TRATAMIENTO VULNERABILIDADES

VALORACIÓN


Módulo físico

ETAPA 1: PLANEACIÓN

Descripción del sistema: requerimientos (o misión) del
sistema, concepto de operación, e identificación de la
naturaleza de los recursos del sistema. Está descripción
provee las bases para posteriores análisis y es prerrequisito
para iniciar la valoración de riesgos.

El alcance: se determina el alcance del análisis. Cuales
recursos del sistema requiere o no el análisis de riesgos.
Cuales agentes de amenazas no serán considerados, etc.

Módulo físico

ETAPA 2: IDENTIFICACIÓN DE
RECURSOS

Personas
Hardware
Software
Información


Módulo físico

AMENAZAS Y VULNERABILIDADES

Listado de Amenazas

RIESGOS NATURALES

HUMANOS

FÍSICO

LÓGICO

Módulo físico

AMENAZAS Y VULNERABILIDADES

Algunas debilidades
observadas en el sistema, dan
píe a una serie de
recomendaciones de
seguridad iniciales que se
pueden poner en práctica de
inmediato, por lo general
implican bajos costos, como
respaldo a estos controles se
implanta las correspondientes
políticas de seguridad.


Módulo físico

ETAPA 4: VALORACIÓN

Cualitativo Cuantitativo


Módulo físico

Cualitativo
Los analistas se apoyan en su juicio, experiencia e
intuición para la toma de decisiones. Se pueden utilizar
cuando los datos numéricos son inadecuados o no se
cuentan con personal experimentado en el área.
Se utilizan clasificaciones de palabra como alto, medio o
bajo, o descripciones más detalladas de la probabilidad
y la consecuencia.

Módulo físico

Cualitativo
Las clasificaciones se determinan en relación con una
escala apropiada para calcular el nivel de riesgo. Se debe
poner atención en la escala utilizada a fin de evitar malos
entendidos o malas interpretaciones de los resultados.
Matricial Análisis de modo de
Análisis preliminar falla y efecto FMEA
de riesgos PHA
What if? Listas de
chequeos

Módulo físico


Análisis preliminar de riesgos PHA

Para realizar un PHA deben cubrirse las siguientes etapas:

Recopilación de la información necesaria.

Realización del PHA propiamente dicho.

Informe de resultados.

Módulo físico



Recopilación de la información necesaria.
Son informaciones básicas las de la propia empresa o proceso, así
como las referentes a los equipos principales, y las del entorno en
el que se realizan las operaciones.

Es también fundamental la información relacionada con procesos
similares y empresas semejantes.


Módulo físico


Realización del PHA propiamente dicho.

El objetivo principal del PHA es identificar las amenazas y
vulnerabilidades que provoquen consecuencias indeseables.
Pueden identificarse, asimismo, criterios de diseño o alternativas
que contribuyan a eliminar o reducir estos riesgos.


Módulo físico


Informe de resultados.
MADIDAS PREVENTIVAS O
AMENAZA VULNERABILIDAD IMPACTO
CORRECTIVAS

Fuga tóxica Manejo inadecuado del Peligro de muerte a) Colocar sistemas de detección
cilindro de si la fuga es y alerta
almacenamiento importante b) Capacitación del personal
c) Desarrollar un procedimiento
de manipulación de los cilindros


Módulo físico


LISTAS DE CHEQUEO
Son listas de fácil aplicación y pueden ser utilizadas en cualquier fase de un
proyecto o modificación de una planta. Es una manera adecuada de evaluar el nivel
mínimo aceptable de riesgo de un determinado proyecto. Muchas organizaciones
utilizan las listas de inspección estandarizadas para seguimiento y control de las
diferentes fases de un proyecto.
Inflamabilidad Vertidos

Explosividad Almacenamientos
SUSTANCIAS
(EJEMPLO)
Toxicidad Electricidad estática

Corrosividad Reactividad

Módulo físico

Análisis de modo de falla y efecto FMEA
(Failure Mode and Effects Analysis)
Este método consiste en la tabulación de los equipos y sistemas de una
empresa, estableciendo las diferentes posibilidades de fallo y las diversas
influencias (efectos) de cada uno de ellos en el conjunto del sistema o de la planta.
Para garantizar la efectividad del método, debe disponerse de:

Lista de equipos y sistemas.
Conocimiento de las funciones de los equipos.
Conocimiento de las funciones de los sistemas y empresa.

Item Identificación Designación Modo de fallo Efectos

Módulo físico


What if?


Módulo físico


Matricial


Módulo físico

Matricial


Módulo físico

Cuantitativo
Se consideran métodos cuantitativos a aquellos que permiten
asignar valores de ocurrencia a las diferentes amenazas
identificadas, es decir, calcular matemáticamente el nivel de riesgo.
(a veces son llamados semi-cuantitativos)

Análisis funcional de Método de árbol
operatividad (AFO) de fallas

Índice Dow para
Matricial fuegos y explosiones

Módulo físico


Cuantitativo

Matricial


Módulo físico


Cuantitativo Matricial


Módulo físico

ETAPA 5: TRATAMIENTO

Luego del análisis de riesgos se procede a
determinar el tipo de acción a tomar para
cada riesgo. Se estudian las amenazas que
presentan los recursos del sistema y se
determina si es posible la implantación de
mecanismos que reduzcan o eliminen el
riesgo, en caso contrario las acciones a
tomar serían la aceptación o transferencia
del riesgo.


Módulo físico

Estrategias de respuesta
Proteger y procesar
Se suele aplicar cuando la organización es muy vulnerable o el nivel de los
atacantes es elevado; la filosofía es proteger de manera inmediata y restaurar su
estado normal, de forma que los usuarios puedan seguir trabajando
normalmente.

La principal desventaja de esta estrategia es que el atacante se da cuenta
rápidamente de que ha sido descubierto y puede emprender acciones para NO
ser identificado o se limita a abandonar su ataque y dedicarse a probar suerte
con otros sistemas menos protegidos en otras organizaciones.


Módulo físico

Estrategias de respuesta
Perseguir y procesar
Adopta la filosofía de permitir al atacante proseguir sus actividades, pero de forma
controlada y observada por los administradores, de la forma más discreta posible.
Con esto, se intentan guardar pruebas para ser utilizadas en la segunda parte de la
estrategia, la de acusación y procesamiento del atacante (ya sea ante la justicia o
ante los responsables de la organización, si se trata de usuarios internos).

Evidentemente se corre el peligro de que el intruso descubra su monitorización y
destruya completamente el sistema


Módulo físico

Política de seguridad
No es una descripción técnica de mecanismos, ni una
expresión legal que involucre sanciones a conductas de
los empleados, es más bien una descripción de los
que deseamos proteger y el por qué de ello, pues cada
política de seguridad es una invitación a cada uno de
los miembros a reconocer sus principales activos.


Módulo físico

¿Para qué?


Módulo físico

¿Qué es una política?


Módulo físico

Elementos de una política de seguridad
Alcance y ámbito de la Política de Seguridad: En este punto se
debe detallar si la política es global, para toda la empresa, o si
está delimitada para determinados departamentos o personas.
Objetivos general y específicos: CONTINUIDAD DEL NEGOCIO

Responsabilidades y Organización de la Seguridad de la
Información: Se establecerá una estructura de responsables para
la toma de decisiones respecto a inversiones, seguimiento y
aseguramiento del cumplimiento de lo recogido en las políticas.
Así mismo, puede establecerse la composición de un Comité
para la toma de decisiones conjuntas en materia de seguridad.

Módulo físico

Control de la información: Se indicarán las
pautas para asegurar el buen uso de la
información. Una buena práctica puede ser
establecer una guía de clasificación de la
información en función de su contenido y/o
grado de confidencialidad. A cada nivel (por
ejemplo: información de uso interno,
confidencial, reservada), se le dotarán de
diferentes medidas de seguridad en cada una
de sus fases de tratamiento (creación,
distribución, eliminación…)


Módulo físico

Seguridad del personal: Se especificarán las medidas de
seguridad a tomar en relación al personal de la organización
desde su incorporación en la que deberían firmarse acuerdos y
clausulas de confidencialidad, uso de los sistemas, etc, pasando
por su permanencia en la empresa, en la que deberá establecerse
un programa de formación y concienciación en Seguridad de la
Información hasta la finalización de la relación laboral donde se
detallarán las medidas para asegurar la devolución del
equipamiento (móviles, portátiles, etc…) que hayan sido cedidos
al empleado para su desarrollo de actividades en la empresa y la
eliminación de autorizaciones de acceso.

Módulo físico


Seguridad Seguridad de equipos
de área (físico y lógico)

Definición de
violaciones y sanciones Seguridad
por no cumplir con las de usuario
políticas

Módulo físico

La política de seguridad es una “declaración de principios” y, por lo
tanto, es la guía sobre la que se cimentarán los principios para
asegurar la Seguridad de la Información de nuestras
organizaciones.

A partir de esta política, deberán desarrollarse otras guías o
procedimientos más específicos que detallen más ampliamente lo
establecido en nuestra política.


Módulo físico

Ejemplo: En la política se indicará que los
usuarios deberán tomar medidas para
proteger sus cuentas de usuarios, pero será
necesario desarrollar más profundamente un
procedimiento que detalle los usos
permitidos y no permitidos de los recursos
informáticos en los que se les den, por
ejemplo, buenas prácticas para la
composición de contraseñas, qué uso deben
hacer del correo electrónico o cómo debe ser
utilizado Internet.

Módulo físico

Etapas en el desarrollo de una política de
seguridad


Módulo físico

Sugerencias para tener en cuenta al momento
de formular una política de seguridad
Realizar un análisis de riesgos

Reunirse con los departamentos dueños de los recursos, ya que
ellos poseen la experiencia y son la principal fuente para establecer
el alcance y definir las violaciones a las políticas.

Comunicar a todo el personal involucrado sobre el desarrollo de las
políticas, incluyendo los beneficios y riesgos relacionados con los
recursos y bienes, y sus elementos de seguridad.


Módulo físico

Sugerencias para tener en cuenta al momento
de formular una política de seguridad
Identificar quién tiene la autoridad para tomar decisiones en cada
departamento, pues son ellos los interesados en salvaguardar los
activos críticos su área.

Monitorear periódicamente los procedimientos y operaciones de la
empresa, de forma tal, que ante cambios las políticas puedan
actualizarse oportunamente.

Detallar explícita y concretamente el alcance de las políticas con el
propósito de evitar situaciones de tensión al momento de establecer
los mecanismos de seguridad que respondan a las políticas trazadas.

Presentacion 2

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (9)

Andere mochten auch

Andere mochten auch (7)

Ähnlich wie Presentacion 2

Ähnlich wie Presentacion 2 (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (20)

Presentacion 2