SlideShare ist ein Scribd-Unternehmen logo

Gestion de-riesgo-en-la-seguridad-informatica

Cristiam Lopez
Cristiam Lopez
TechnologieBusiness
1 von 19
Downloaden Sie, um offline zu lesen
Objetivos ● Saber que es la Seguridad Informática ● Identificar aspectos que deben considerarse para el  estudio de la Seguridad Informática Estado de la Seguridad Informática en las Organizaciones Sociales ● Conocer método para la Gestión de Riesgo protejete.wordpress.com
Definición de Seguridad Informática ● Garantizar condiciones y características de datos e información – Confidencialidad: Acceso autenticado y controlado – Integridad: Datos completos y non­modificados – Disponibilidad: Acceso garantizado ● Manejo del peligro – Conocerlo – Clasificarlo – Protegerse contra daños protejete.wordpress.com
Gestión de Riesgo Análisis Clasificación de Riesgo de Riesgo Control Reducción de Riesgo de Riesgo Política de Seguridad: Procesos, Reglas y Norma Institucionales protejete.wordpress.com
Seguridad Informática Seguridad Informática Seguridad de Protección de la información datos protejete.wordpress.com
Seguridad de la Información Seguridad de la información = Protección contra pérdida y modificación Motivación: Interés propio protejete.wordpress.com
Protección de Datos Protección de datos = Protección de la personalidad y los derechos  personales de los individuos, que salen en los  datos, para evitar consecuencias negativas en  contra de ellos. Motivación: Obligación jurídica protejete.wordpress.com
Retos de la Seguridad ● No recibe atención adecuada – Costos Ignorancia, falta de conocimiento ! – – Negligencia del personal – Falta o no respetar de normas y reglas ● Proceso dinámico y permanente – Seguimiento de control y sanciones – Adaptar mediadas a cambios de entorno – Capacitación del personal – Documentación protejete.wordpress.com
Elementos de Información ● Datos e información – Finanzas, RR.HH, Llamadas telefónicas, Correo electrónico, Base de Datos, Chateo, ...  ● Sistemas e infraestructura – Edificio, Equipos de red, Computadoras, Portátiles, Memorias portátiles, Celulares, ... ● Personal – Junta Directiva, Coordinación, Administración, Personal técnico, ...  protejete.wordpress.com
Amenazas ● Criminalidad (común y política) – Allanamiento, Sabotaje, Robo / Hurto, Fraude, Espionaje, Virus, ... ● Sucesos de origen físico – Incendio, Inundación, Sismo, Polvo Sobrecarga eléctrica, Falta de corriente, ... ● Negligencia y decisiones institucionales – Falta de reglas, Falta de capacitación, No cifrar datos críticos, Mal manejo de contraseñas, ... protejete.wordpress.com
Vulnerabilidades ● Ambiental / Físicas – Desastres naturales, Ubicación, Capacitad técnica, Materiales... ● Económica – Escasez y mal manejo de recursos ● Socio­Educativa – Relaciones, Comportamientos, Métodos,  Conductas... ● Institucional / Política – Procesos, Organización, Burocracia, Corrupción, Autonomía protejete.wordpress.com
Clasificación y Flujo de Información ● Identificar tipo de datos e información y clasificarlo – Confidencial (acceso restringido: personal interno autorizado) – Privado (acceso restringido: personal interno) – Sensitivo (acceso controlado: personal interno, público  externo con permiso) – Público ● Análisis de flujo de información – Observar cuáles instancias manejan que información – Identificar grupos externos que dependen o están interesados  en la información – Determinar si se deben efectuar cambios en el manejo de la  información protejete.wordpress.com
Análisis de Riesgo Riesgo = Probabilidad de Amenaza * Magnitud de Daño Alto Riesgo (12­16) 4 4 8 12 16 Medio Riesgo (8­9) Bajo Riesgo (1­6) Magnitud de Da 3 3 6 9 12 2 2 4 6 8 Valores: 1 = Insignificante 2 = Baja 1 1 2 3 4 ñ o 3 = Mediana 4 = Alta 1 2 3 4 Probabilidad de Amenaza protejete.wordpress.com
¿Cómo valorar la Probabilidad de Amenaza? ● Consideraciones – Interés o la atracción por parte de individuos externos – Nivel de vulnerabilidad – Frecuencia en que ocurren los incidentes ● Valoración de probabilidad de amenaza – Baja: Existen condiciones que hacen muy lejana la  posibilidad del ataque – Mediana: Existen condiciones que hacen poco probable un  ataque en corto plazo, pero no son suficientes para evitarlo  en el largo plazo – Alta: Ataque es inminente. No existen condiciones internas y  externas que impidan el desarrollo del ataque protejete.wordpress.com
¿Cuándo hablamos de un Impacto? ● Se pierde la información/conocimiento ● Terceros tienen acceso a la información/conocimiento ● Información ha sido manipulada o está incompleta ● Información/conocimiento o persona no está  disponible ● Cambio de legitimidad de la fuente de información protejete.wordpress.com
¿Cómo valorar la Magnitud de Daño? ● Consideración sobre las consecuencias de un impacto – ¿Quién sufrirá el daño? – Incumplimiento de confidencialidad (interna y externa) – Incumplimiento de obligación jurídicas / Contrato / Convenio – Costo de recuperación (imagen, emocional, recursos: tiempo, económico) ● Valoración de magnitud de daño – Bajo: Daño aislado, no perjudica ningún componentes de  organización – Mediano: Provoca la desarticulación de un componente de  organización. A largo plazo puede provocar desarticulación  de organización – Alto: En corto plazo desmoviliza o desarticula a la  organización protejete.wordpress.com
Clasificación de Riesgo Seguro, pero exceso de atención Inseguro, poca atención Bajo riesgo Alto riesgo Bajo riesgo Alto riesgo protejete.wordpress.com
Riesgo restante ¡Nada es 100% seguro, siempre queda un riesgo restante! protejete.wordpress.com
Reducción de Riesgo ● Medidas físicas y técnicas – Construcciones de edificio, Control de acceso, Planta eléctrica, Antivirus, Datos cifrados, Contraseñas inteligentes, ... ● Medidas personales – Contratación, Capacitación, Sensibilización, ... ● Medidas organizativas – Normas y reglas, Seguimiento de control, Auditoría, ... protejete.wordpress.com
Medidas de Protección ● Medidas dependiendo del grado de riesgo – Medio riesgo: Medidas parciales para mitigar daño – Alto riesgo: Medidas exhaustivas para evitar daño ● Verificación de funcionalidad – Respaldado por coordinación – Esfuerzo adicional y costos vs. eficiencia – Evitar medidas pesadas o molestas ● Fundado en normas y reglas – Actividades, frecuencia y responsabilidades – Publicación protejete.wordpress.com

Empfohlen

Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
simondavila
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
lamugre
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgos
daylisyfran
 
seguridad física
seguridad física seguridad física
seguridad física
Mario Adolfo Suarez
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Ernesto Herrera
 
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Jack Daniel Cáceres Meza
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informática
Carolina Cols
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
Pablo Palacios
 

Empfohlen

Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
simondavila
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
lamugre
 
Seguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de RiesgosSeguridad Informatica y Gestión de Riesgos
Seguridad Informatica y Gestión de Riesgos
daylisyfran
 
seguridad física
seguridad física seguridad física
seguridad física
Mario Adolfo Suarez
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Ernesto Herrera
 
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obraCurso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Curso: Introducción a la seguridad informática: 03 Riesgos, manos a la obra
Jack Daniel Cáceres Meza
 
Amenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informáticaAmenazas y vulnerabilidades en la informática
Amenazas y vulnerabilidades en la informática
Carolina Cols
 
Gestión de Vulnerabilidades
Gestión de VulnerabilidadesGestión de Vulnerabilidades
Gestión de Vulnerabilidades
Pablo Palacios
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Pedro Trelles Araujo
 
Seguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosSeguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis Castellanos
Luis R Castellanos
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redes
Juan MmnVvr Aguila
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad Informática
Juan Manuel García
 
Vulnerabilidades Clase 02
Vulnerabilidades Clase 02Vulnerabilidades Clase 02
Vulnerabilidades Clase 02
Alex Avila
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisica
IESTP.CAP.FAP. JOSE ABELARDO QUIÑONES
 
Riesgos y amenazas de la informacion
Riesgos y amenazas de la informacionRiesgos y amenazas de la informacion
Riesgos y amenazas de la informacion
Jean Carlos Leon Vega
 
Objetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgosObjetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgos
Sen Alonzo
 
seguridad informática
seguridad informática seguridad informática
seguridad informática
nadialjp
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
Xavier
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
contiforense
 
Seguridad y protección
Seguridad y protecciónSeguridad y protección
Seguridad y protección
grarysit
 
Unidad 3: Seguridad informatica
Unidad 3: Seguridad informaticaUnidad 3: Seguridad informatica
Unidad 3: Seguridad informatica
TheNexuss
 
Seguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clSeguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.cl
Cristian Sepulveda
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
Eve_And
 
Principio de seguridad informática
Principio de seguridad informáticaPrincipio de seguridad informática
Principio de seguridad informática
JOSE BABILONIA
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
Neila Rincon
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
ebonhoure
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
Abel Caín Rodríguez Rodríguez
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
Gestión de riesgos
Gestión de riesgos Gestión de riesgos
Gestión de riesgos
Alpha Consultoria
 
CONFIDENCIALIDAD DE LA INFORMACION
CONFIDENCIALIDAD DE LA INFORMACIONCONFIDENCIALIDAD DE LA INFORMACION
CONFIDENCIALIDAD DE LA INFORMACION
rios abogados
 

Weitere ähnliche Inhalte

Was ist angesagt?

Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redes
Juan MmnVvr Aguila
 
Vulnerabilidades Clase 02
Vulnerabilidades Clase 02Vulnerabilidades Clase 02
Vulnerabilidades Clase 02
Alex Avila
 
Unidad 3: Seguridad informatica
Unidad 3: Seguridad informaticaUnidad 3: Seguridad informatica
Unidad 3: Seguridad informatica
TheNexuss
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
Eve_And
 

Was ist angesagt? (20)

Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis CastellanosSeguridad en Informatica - Luis Castellanos
Seguridad en Informatica - Luis Castellanos
 
Arquitectura de seguridad de redes
Arquitectura de seguridad de redesArquitectura de seguridad de redes
Arquitectura de seguridad de redes
 
Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad Informática
 
Vulnerabilidades Clase 02
Vulnerabilidades Clase 02Vulnerabilidades Clase 02
Vulnerabilidades Clase 02
 
Seguridad logica fisica
Seguridad logica fisicaSeguridad logica fisica
Seguridad logica fisica
 
Riesgos y amenazas de la informacion
Riesgos y amenazas de la informacionRiesgos y amenazas de la informacion
Riesgos y amenazas de la informacion
 
Objetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgosObjetivos de la seguridad informatica y posibles riesgos
Objetivos de la seguridad informatica y posibles riesgos
 
seguridad informática
seguridad informática seguridad informática
seguridad informática
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
 
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICASEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
SEGURIDAD INFORMÁTICA Y POLICIA INFORMÁTICA
 
Seguridad y protección
Seguridad y protecciónSeguridad y protección
Seguridad y protección
 
Unidad 3: Seguridad informatica
Unidad 3: Seguridad informaticaUnidad 3: Seguridad informatica
Unidad 3: Seguridad informatica
 
Seguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.clSeguridad Informatica, via Meeting.cl
Seguridad Informatica, via Meeting.cl
 
Seguridad física y lógica
Seguridad física y lógicaSeguridad física y lógica
Seguridad física y lógica
 
Principio de seguridad informática
Principio de seguridad informáticaPrincipio de seguridad informática
Principio de seguridad informática
 
Seguridad informática
Seguridad informática Seguridad informática
Seguridad informática
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 

Andere mochten auch

Andere mochten auch (6)

Gestión de riesgos
Gestión de riesgos Gestión de riesgos
Gestión de riesgos
 
CONFIDENCIALIDAD DE LA INFORMACION
CONFIDENCIALIDAD DE LA INFORMACIONCONFIDENCIALIDAD DE LA INFORMACION
CONFIDENCIALIDAD DE LA INFORMACION
 
Analisis de riesgos
Analisis de riesgosAnalisis de riesgos
Analisis de riesgos
 
Analisis De Riesgos
Analisis De RiesgosAnalisis De Riesgos
Analisis De Riesgos
 
Confidencialidad
ConfidencialidadConfidencialidad
Confidencialidad
 
Seguridad Informática
Seguridad InformáticaSeguridad Informática
Seguridad Informática
 

Ähnlich wie Gestion de-riesgo-en-la-seguridad-informatica

Seguridad en la informática de empresa
Seguridad en la informática de empresaSeguridad en la informática de empresa
Seguridad en la informática de empresa
Lore Cruz Sanchez
 
Seguridad en la informática de empresa
Seguridad en la informática de empresaSeguridad en la informática de empresa
Seguridad en la informática de empresa
Lore Cruz Sanchez
 

Ähnlich wie Gestion de-riesgo-en-la-seguridad-informatica (20)

Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgo
 
Memorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgosMemorias webCast Introduccion al analisis y gestión de riesgos
Memorias webCast Introduccion al analisis y gestión de riesgos
 
Analisis gestion de riesgos
Analisis gestion de riesgosAnalisis gestion de riesgos
Analisis gestion de riesgos
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacion
 
Introduccion iso 17799
Introduccion iso 17799Introduccion iso 17799
Introduccion iso 17799
 
seguridadinformatica
seguridadinformaticaseguridadinformatica
seguridadinformatica
 
seguridadinformatica
seguridadinformaticaseguridadinformatica
seguridadinformatica
 
Introduccion de ISO 17799
Introduccion de ISO 17799Introduccion de ISO 17799
Introduccion de ISO 17799
 
Controles de seguridad.pptx
Controles de seguridad.pptxControles de seguridad.pptx
Controles de seguridad.pptx
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Fundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informáticaFundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informática
 
Introducción a la seguridad informática
Introducción a la seguridad informáticaIntroducción a la seguridad informática
Introducción a la seguridad informática
 
Normas de Seguridad de la Información
Normas de Seguridad de la InformaciónNormas de Seguridad de la Información
Normas de Seguridad de la Información
 
Gestion de la Seguridad y Riesgo en Pymes
Gestion de la Seguridad y Riesgo en PymesGestion de la Seguridad y Riesgo en Pymes
Gestion de la Seguridad y Riesgo en Pymes
 
Magerit
MageritMagerit
Magerit
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
 
Seguridad Inteligente (2009)
Seguridad Inteligente (2009)Seguridad Inteligente (2009)
Seguridad Inteligente (2009)
 
Seguridad en la informática de empresa
Seguridad en la informática de empresaSeguridad en la informática de empresa
Seguridad en la informática de empresa
 
Seguridad en la informática de empresa
Seguridad en la informática de empresaSeguridad en la informática de empresa
Seguridad en la informática de empresa
 
Seguridad informática
Seguridad informáticaSeguridad informática
Seguridad informática
 

Kürzlich hochgeladen

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 

Kürzlich hochgeladen (11)

PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 

Gestion de-riesgo-en-la-seguridad-informatica

  • 1. Objetivos ● Saber que es la Seguridad Informática ● Identificar aspectos que deben considerarse para el  estudio de la Seguridad Informática Estado de la Seguridad Informática en las Organizaciones Sociales ● Conocer método para la Gestión de Riesgo protejete.wordpress.com
  • 2. Definición de Seguridad Informática ● Garantizar condiciones y características de datos e información – Confidencialidad: Acceso autenticado y controlado – Integridad: Datos completos y non­modificados – Disponibilidad: Acceso garantizado ● Manejo del peligro – Conocerlo – Clasificarlo – Protegerse contra daños protejete.wordpress.com
  • 3. Gestión de Riesgo Análisis Clasificación de Riesgo de Riesgo Control Reducción de Riesgo de Riesgo Política de Seguridad: Procesos, Reglas y Norma Institucionales protejete.wordpress.com
  • 4. Seguridad Informática Seguridad Informática Seguridad de Protección de la información datos protejete.wordpress.com
  • 7. Retos de la Seguridad ● No recibe atención adecuada – Costos Ignorancia, falta de conocimiento ! – – Negligencia del personal – Falta o no respetar de normas y reglas ● Proceso dinámico y permanente – Seguimiento de control y sanciones – Adaptar mediadas a cambios de entorno – Capacitación del personal – Documentación protejete.wordpress.com
  • 8. Elementos de Información ● Datos e información – Finanzas, RR.HH, Llamadas telefónicas, Correo electrónico, Base de Datos, Chateo, ...  ● Sistemas e infraestructura – Edificio, Equipos de red, Computadoras, Portátiles, Memorias portátiles, Celulares, ... ● Personal – Junta Directiva, Coordinación, Administración, Personal técnico, ...  protejete.wordpress.com
  • 9. Amenazas ● Criminalidad (común y política) – Allanamiento, Sabotaje, Robo / Hurto, Fraude, Espionaje, Virus, ... ● Sucesos de origen físico – Incendio, Inundación, Sismo, Polvo Sobrecarga eléctrica, Falta de corriente, ... ● Negligencia y decisiones institucionales – Falta de reglas, Falta de capacitación, No cifrar datos críticos, Mal manejo de contraseñas, ... protejete.wordpress.com
  • 10. Vulnerabilidades ● Ambiental / Físicas – Desastres naturales, Ubicación, Capacitad técnica, Materiales... ● Económica – Escasez y mal manejo de recursos ● Socio­Educativa – Relaciones, Comportamientos, Métodos,  Conductas... ● Institucional / Política – Procesos, Organización, Burocracia, Corrupción, Autonomía protejete.wordpress.com
  • 11. Clasificación y Flujo de Información ● Identificar tipo de datos e información y clasificarlo – Confidencial (acceso restringido: personal interno autorizado) – Privado (acceso restringido: personal interno) – Sensitivo (acceso controlado: personal interno, público  externo con permiso) – Público ● Análisis de flujo de información – Observar cuáles instancias manejan que información – Identificar grupos externos que dependen o están interesados  en la información – Determinar si se deben efectuar cambios en el manejo de la  información protejete.wordpress.com
  • 12. Análisis de Riesgo Riesgo = Probabilidad de Amenaza * Magnitud de Daño Alto Riesgo (12­16) 4 4 8 12 16 Medio Riesgo (8­9) Bajo Riesgo (1­6) Magnitud de Da 3 3 6 9 12 2 2 4 6 8 Valores: 1 = Insignificante 2 = Baja 1 1 2 3 4 ñ o 3 = Mediana 4 = Alta 1 2 3 4 Probabilidad de Amenaza protejete.wordpress.com
  • 13. ¿Cómo valorar la Probabilidad de Amenaza? ● Consideraciones – Interés o la atracción por parte de individuos externos – Nivel de vulnerabilidad – Frecuencia en que ocurren los incidentes ● Valoración de probabilidad de amenaza – Baja: Existen condiciones que hacen muy lejana la  posibilidad del ataque – Mediana: Existen condiciones que hacen poco probable un  ataque en corto plazo, pero no son suficientes para evitarlo  en el largo plazo – Alta: Ataque es inminente. No existen condiciones internas y  externas que impidan el desarrollo del ataque protejete.wordpress.com
  • 14. ¿Cuándo hablamos de un Impacto? ● Se pierde la información/conocimiento ● Terceros tienen acceso a la información/conocimiento ● Información ha sido manipulada o está incompleta ● Información/conocimiento o persona no está  disponible ● Cambio de legitimidad de la fuente de información protejete.wordpress.com
  • 15. ¿Cómo valorar la Magnitud de Daño? ● Consideración sobre las consecuencias de un impacto – ¿Quién sufrirá el daño? – Incumplimiento de confidencialidad (interna y externa) – Incumplimiento de obligación jurídicas / Contrato / Convenio – Costo de recuperación (imagen, emocional, recursos: tiempo, económico) ● Valoración de magnitud de daño – Bajo: Daño aislado, no perjudica ningún componentes de  organización – Mediano: Provoca la desarticulación de un componente de  organización. A largo plazo puede provocar desarticulación  de organización – Alto: En corto plazo desmoviliza o desarticula a la  organización protejete.wordpress.com
  • 16. Clasificación de Riesgo Seguro, pero exceso de atención Inseguro, poca atención Bajo riesgo Alto riesgo Bajo riesgo Alto riesgo protejete.wordpress.com
  • 18. Reducción de Riesgo ● Medidas físicas y técnicas – Construcciones de edificio, Control de acceso, Planta eléctrica, Antivirus, Datos cifrados, Contraseñas inteligentes, ... ● Medidas personales – Contratación, Capacitación, Sensibilización, ... ● Medidas organizativas – Normas y reglas, Seguimiento de control, Auditoría, ... protejete.wordpress.com
  • 19. Medidas de Protección ● Medidas dependiendo del grado de riesgo – Medio riesgo: Medidas parciales para mitigar daño – Alto riesgo: Medidas exhaustivas para evitar daño ● Verificación de funcionalidad – Respaldado por coordinación – Esfuerzo adicional y costos vs. eficiencia – Evitar medidas pesadas o molestas ● Fundado en normas y reglas – Actividades, frecuencia y responsabilidades – Publicación protejete.wordpress.com