APLICACIN DE LA SEGURIDAD INFORMATICA

ASIN-02

MTRA. LUZ YUVINA CAMPOS GARCA

Matriz de Riesgo
Definicin de Seguridad Informtica
La Seguridad Informtica se refiere a las caractersticas
y condiciones de sistemas de procesamiento de datos
y
su
almacenamiento,
para
garantizar
su
confidencialidad, integridad y disponibilidad.
Considerar aspectos de seguridad significa a)
conocer el peligro, b) clasificarlo y c) protegerse de los
impactos o daos de la mejor manera posible. Esto
significa que solamente cuando estamos conscientes
de las potenciales amenazas, agresores y sus
intenciones dainas (directas o indirectas) en contra
de nosotros, podemos tomar medidas de proteccin
adecuadas, para que no se pierda o dae nuestros
recursos valiosos.
Elementos De Gestin De Riesgos En Informtica
La funcin de la gestin de riesgos es identificar,
estudiar y eliminar las fuentes de los eventos
perjudiciales antes de que empiecen a amenazar los
procesos informticos.
La gestin de riesgos se divide generalmente en:
Estimacin
De
Riesgos
La estimacin de riesgos describe cmo estudiar los
riesgos dentro de la planeacin general del entorno
informtico y se divide en los siguientes pasos:
La identificacin de riesgos genera una lista de
riesgos capaces de afectar el funcionamiento normal
del entorno informtico.
El anlisis de riesgos mide su probabilidad de
ocurrencia y su impacto en la organizacin.

Creacin de la planificacin, que incluye:

Planificacin excesivamente optimista, planificacin
con tareas innecesarias, y organizacin de un entorno
informtico sin tener en cuenta reas desconocidas y
la envergadura del mismo.
La organizacin y gestin, que incluye: Presupuestos
bajos, El ciclo de revisin/decisin de las directivas es
mas lento de lo esperado.

El entorno de trabajo, que incluye: Mal

funcionamiento de las herramientas de desarrollo,
espacios de trabajo inadecuados y la curva de
aprendizaje de las nuevas tecnologas es mas larga de
lo esperado.
Las decisiones de los usuarios finales, que incluye:
Falta de participacin de los usuarios finales y la falta
de comunicacin entre los usuarios y el departamento
de informtica
El personal contratado, que incluye: Falta de
motivacin, falta de trabajo en equipo y trabajos de
poca calidad.
Los procesos, que incluye: La burocracia, falta de
control de calidad y la falta de entusiasmo.
Anlisis De Riesgos
Una vez hayan identificado los riesgos en la
planificacin, el paso siguiente es analizarlos para
determinar su impacto, tomando as las posibles
alternativas de solucin. La explicacin de Anlisis de
riesgos se extender posteriormente.
Exposicin A Riesgos

Estimacin De La Probabilidad De Perdida

Las principales formas de estimar la probabilidad de
prdida son las siguientes:
Disponer de la persona que est ms familiarizada
con el entorno informtico para que estime la
probabilidad de ocurrencia de eventos perjudiciales.
Usar tcnicas Delphi o de consenso en grupo. El
mtodo Delphi consiste en reunir a un grupo de
expertos para solucionar determinados problemas.
Dicho grupo realiza la categorizacin individual de las
amenazas y de los objetos del riesgo.
Utilizar la calibracin mediante adjetivos, en la cul
las personas involucradas eligen un nivel de riesgo
entre (probable, muy probable) y despus se
convierten a estimaciones cuantitativas.
Priorizacin De Riesgos
En este paso de la estimacin de riesgos, se estiman
su prioridad de forma que se tenga forma de centrar el
esfuerzo para desarrollar la gestin de riesgos. Cuando
se realiza la priorizacin (elementos de alto riesgo y
pequeos riesgos), estos ltimos no deben ser de gran
preocupacin, pues lo verdaderamente crtico se
puede dejar en un segundo plano.
Control De Riesgos
Una vez que se hayan identificado los riesgos del
entorno informtico y analizado su probabilidad de
ocurrencia, existen bases para controlarlos que son:
Planificacin
Resolucin de riesgos

La asignacin de prioridades a los riesgos.

Identificacin De Riesgos
En este paso se identifican los factores que
introducen una amenaza en la planificacin del
entorno informtico. Los principales factores que se
ven afectados son:

Una vez hayan identificado los riesgos en la

planificacin, el paso siguiente es analizarlos para
determinar su impacto, tomando as las posibles
alternativas de solucin. La explicacin de Anlisis de
riesgos se extender posteriormente.
Exposicin A Riesgos

Monitorizacin de riesgos
Planificacin De Riesgos

 Su objetivo, es desarrollar un plan que controle cada

uno de los eventos perjudiciales a que se encuentran
expuestos las actividades informticas.

Llevar a cabo un minucioso anlisis de los riesgos y

debilidades.

con acceso fsico a la mquina en cuestin puede

causar estragos.

Identificar, definir y revisar los controles de seguridad.

Error administrativo: Por ejemplo, Instalaciones y

configuraciones sin contar con mecanismos de
seguridad para su proteccin.

Resolucin De Riesgos
La resolucin de los riesgos est conformado por los
mtodos que controlan el problema de un diseo de
controles inadecuado, los principales son:
Evitar el Riesgo : No realizar actividades arriesgadas.
Conseguir informacin acerca del riesgo.
Planificar el entorno informtico de forma que si
ocurre un riesgo, las actividades informticas sean
cumplidas.
Eliminar el origen del riesgo, si es posible desde su
inicio.

Determinar si es necesario incrementar las medidas

de seguridad.
Cuando se identifican los riesgos, los permetros de
seguridad y los sitios de mayor peligro, se pueden
hacer el mantenimiento mas fcilmente.
El anlisis de riesgos utiliza el mtodo matricial llamado
MAPA DE RIESGOS, para identificar la vulnerabilidad de
un servicio o negocio a riesgos tpicos, El mtodo
contiene los siguientes pasos:
Localizacin de los procesos en las dependencias que
intervienen en la prestacin del servicio
Matriz de riesgos vs. vulnerabilidad

Asumir y comunicar el riesgo.

Mtodos de control de riesgos ms habituales
RIESGO
METODOS DE CONTROL
Cambio
de
laUso de tcnicas orientadas al
prestacin del servicio cliente. Diseo
para
nuevos
cambios
Recorte de la calidad Dejar tiempo a las actividades
de control.
Planificacin demasiadoUtilizacin
de
tcnicas
y
optimista
herramientas de estimacin.
Problemas
con
elPedir referencias personales y
personal contratado
laborales. Contratar y planificar
los miembros clave del equipo
mucho antes de que comience
el proyecto.
Tener buenas relaciones con el
personal contratado.

RIESGO
Decisiones equivocadas
Fraude
Hurto

(%) Obtenido
59
55
54

Analizar el tiempo, esfuerzo y recursos disponibles y

necesarios para atacar los problemas.

Errores del sistema: Por ejemplo, daos en archivos

del sistema operativo.
Errores de comunicacin: Por ejemplo, permitir la
transmisin
de
informacin
violando
la
confidencialidad de los datos.
Deliberadas: Estas amenazas pueden ser: activas
(accesos
no
autorizados,
modificaciones
no
autorizadas, sabotaje) pasivas(son de naturaleza
mucho
ms
tcnica,
como:
emanaciones
electromagnticas y/o microondas de interferencia).
Vulnerabilidad

Localizacin de los riesgos crticos en las

ALTA
dependencias de la empresa y procesos que
MEDIA
intervienen enMEDIA
el negocio
Matriz de Procesos vs. riesgo

Dentro del entorno informtico las amenazas (causas

de riesgo) se pueden clasificar as:
Naturales: Incluyen principalmente los cambios
naturales que pueden afectar de una manera u otra el
normal desempeo del entorno informtico; por
ejemplo, la posibilidad de un incendio en el sitio donde
se encuentran los concentradores de cableado dado
que posiblemente estn rodeados de paredes de
madera es una amenaza natural.
Accidentales: Son las ms comunes que existen e
incluyen:

Anlisis De Riesgos

Errores de salida: Por ejemplo, Impresoras u otros

dispositivos mal configurados.

Errores de los usuarios finales: Por ejemplo, El usuario

tiene permisos de administrador y posiblemente sin
intencin modifica informacin relevante.
Errores de los operadores: Por ejemplo, si un operador
tena un sesin abierta y olvid salir del sistema; alguien

Proceso
/ Decisiones
Riesgo
equivocadas
Gestin
de
centros
transaccionales
Administracin
de sistemas
Atencin
al
cliente
Conciliacin
X
de cuentas

Fraude

Hurto