Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Material Unidad 2 v2 PDF
Material Unidad 2 v2 PDF
UNIDAD 2
Los recursos son los activos a proteger del sistema informático de la organización.
2. Amenazas
3. Vulnerabilidades
5. Impactos
También en este caso puede emplearse una escala cualitativa o cuantitativa para
medir el impacto del daño en la organización: Bajo, Moderado y Alto.
https://www.google.com.co/search?q=analisis+y+gestion+de+riesgos+en+una+organizacion&espv=2&biw=1
366&bih=667&source=lnms&tbm=isch&sa=X&ved=0ahUKEwirsPy15vfNAhUFwiYKHd3SAFwQ_AUIBigB#tbm
=isch&q=escalas+de+medicion+de+impacto+en+seguridad&imgrc=C1sFDOrgCf7sSM%3A
6. Riesgos
http://administracionelectronica.gob.es/pae_Home/dms/pae_Home/docume
ntos/Documentacion/Metodologias-y-
guias/Mageritv3/2012_Magerit_v3_libro1_metodo_ES_NIPO_630-12-171-
8/2012_Magerit_v3_libro1_m%C3%A9todo_es_NIPO_630-12-171-8.pdf
http://dis.um.es/~barzana/Curso03_04/MAGERIT.pdf
Otros país de Europa donde se han elaborado metodologías propias -es
Francia, en donde existe el esquema MARION que fue propuesto en 1985
por la Asociación de Empresas Aseguradoras Francesas y MELISA definida
por el entorno militar Francés en el año 1984.
Por otra parte, también podemos distinguir entre defensas físicas y defensas
lógicas. Las primeras se refieren a medidas que implican el control de acceso
físico a los recursos y de las condiciones ambientales en que tienen que ser
utilizados (temperatura, humedad, suministro eléctrico, interferencias…), mientras
que las segundas se relacionan con la protección conseguida mediante distintas
herramientas y técnicas informáticas: autenticación de usuarios y control de
accesos a los ficheros cifrados de los datos sensibles, etc.
Además, será necesario tener en cuenta una serie de parámetros que permitan
analizar la aplicabilidad de cada medida propuesta o planteada: costo económico
de la medida, dificultad para su implantación -tanto a nivel técnico, como en el
plano humano y organizativo-y disminución del riesgo que se prevé conseguir tras
la implantación de la medida; etc.
http://www.academia.edu/5971566/Anexo_III_An%C3%A1lisis_y_Gesti%C3%B3n_de_Riesgos_en_un_Siste
ma_Inform%C3%A1tico
Figura Nro.3. Nivel de Riesgo residual3.
Conviene llevar a cabo una reevaluación del nivel de riesgo tras la implantación de
las medidas de seguridad. Además, también sería recomendable realizar nuevas
evaluaciones del nivel de riesgo de forma periódica en la organización, ya que
será necesario contemplar los cambios experimentados por el sistema de
información de la organización: adquisición y puesta en marcha de nuevos
recursos, nuevas aplicaciones y servicios, incorporación de personal y puesta en
marcha de nuevas instalaciones, etc.
3
Esta gráfica se modificó de la mostrada en el libro Seguridad Informática del autor Alvaro Goméz.
Por supuesto, en todo este proceso de evaluación y gestión de riesgos será
necesario prestar una especial atención a la situación de los recursos o activos
críticos, es decir, de aquellos que resulten esenciales para el normal
funcionamiento de la organización. La priorización de las actuaciones y de la
implantación de medidas de seguridad vendrá determinada por estos recursos
críticos.
Figura Nro.4 .
Otro aspecto importante, que muchas veces se olvida, es que más del 75% de los
problemas inherentes a la seguridad se producen por fallos de los equipos o por
un mal uso por parte del personal de la propia organización. Esto quiere decir que
un plan de seguridad debe contemplar no sólo los ataques provenientes del
mundo exterior ajeno a la empresa, sino también los procedimientos de uso
interno.
Política de Seguridad
Plan de Seguridad
Procedimiento de Seguridad
En este sentido, las políticas definen qué se debe proteger en el sistema, mientras
que los procedimientos de seguridad describen el cómo se debe conseguir dicha
protección. En definitiva, si comparamos las Políticas de Seguridad con las leyes
en un Estado de derecho, los procedimientos serían el equivalente a los
reglamentos aprobados para desarrollar y poder aplicar las leyes.
3. Copias de seguridad
Una copia de seguridad4 o Back up es una copia de los datos originales que se
realiza con el fin de disponer de un medio para recuperarlos en caso de su
pérdida. Las copias de seguridad son útiles ante distintos eventos y usos:
recuperar los sistemas informáticos y los datos de una catástrofe informática,
natural o ataque, restaurar una pequeña cantidad de archivos que pueden
haberse eliminado accidentalmente corrompido o infectado por un virus
informático u otras causas, guardar información histórica de forma más económica
que los discos duros y permitir el traslado a ubicaciones distintas de la de los
datos originales, etc.
4
Fuente: https://es.wikipedia.org/wiki/Copia_de_seguridad
tiempo que se considere adecuado para los datos de la organización, por ejemplo
mantener una copia diaria de la última semana, de todos los días o del último mes,
etc.
Por otro lado, sensores biométricos podrían en un momento dado sustituir a los
sistemas de identificación tradicionales para una identificación del usuario basada
en características físicas únicas como son el iris del ojo o la retina, la huella
dactilar o su voz, entre otras. De forma que cada usuario podrá acceder al sistema
de forma cómoda y segura.
6. Auditoria de la Seguridad
Los administradores del sistema deben estar al tanto de todas las noticias
publicadas sobre agujeros de seguridad detectados tanto en el sistema operativo
como en las aplicaciones instaladas para reaccionar con rapidez en actualización
de versiones nuevas del software y la instalación de parches en el sistema
operativo.
Bugtraq
Securitylist
Hispasec, etc.
Los datos más sensibles dentro del sistema informático deben estar guardados en
ficheros cifrados . De manera similar, la organización debe emplear conexiones
seguras para el envío de dichos datos a través de una red pública como Internet,
empleando técnicas criptográficas robustas.
Bibliografía y Cibergrafía
http://ceur-ws.org/Vol-488/paper13.pdf
http://auditool.org/blog/auditoria-interna/1789-medicion-de-controles-para-mitigar-
riesgos
http://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/D
ocumentacion/Metodologias-y-
guias/Mageritv3/2012_Magerit_v3_libro1_metodo_ES_NIPO_630-12-171-
8/2012_Magerit_v3_libro1_m%C3%A9todo_es_NIPO_630-12-171-8.pdf
http://dis.um.es/~barzana/Curso03_04/MAGERIT.pdf
https://seguridadinformaticaufps.wikispaces.com/Herramienta+de+Evaluacion+de+
Riesgo-CRAMM
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-233003-
enlinea/32_leccin_12_metodologa_magerit.html
https://www.sans.org/reading-room/whitepapers/auditing/qualitative-risk-analysis-
management-tool-cramm-83
http://riesgosunad.blogspot.com.co/
http://www.cramm.com
http://administracionelectronica.gob.es/pae_Home/dms/pae_Home/documentos/D
ocumentacion/Metodologias-y-
guias/Mageritv3/2012_Magerit_v3_libro1_metodo_ES_NIPO_630-12-171-
8/2012_Magerit_v3_libro1_m%C3%A9todo_es_NIPO_630-12-171-8.pdf
http://dis.um.es/~barzana/Curso03_04/MAGERIT.pdf
http://repository.unad.edu.co/bitstream/10596/3814/3/75084251.pdf
http://dgtic.tabasco.gob.mx/sites/all/files/vol/dgtic.tabasco.gob.mx/fi/Manual%20de
%20Seguridad%20Informatica%20Basica.pdf
http://www.ilustrados.com/tema/4924/Politicas-procedimientos-seguridad-
informacion.html
http://daniellaheracapuchino.blogspot.com.co/2015/11/tema-2-politicas-planes-
y_13.html
https://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n