Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Clase riesgos-amenazas-vulnerabilidades
10. GESTION DE RIESGOS Acciones dañinas QUE SON LAS AMENAZAS? Acciones con
consecuencias negativas A los sistemas informáticos
12. RIESGOS RIESGO Probabilidad de que Una amenaza se materialice utilizando una
vulnerabilidad, generando un impacto con perdidas o daños.
13. RIESGOS Algunos ejemplos de riesgos. Perdida de datos Información errónea Daños
en hardware Perdidas económicas Perdida de credibilidad. Caída de la Red. Servidor
fuera de servicio
17. VALORACIÓN DEL RIESGO Proceso mediante el cual se establece la probabilidad de que
ocurran daños o pérdidas materiales y la cuantificación de los mismos. La valoración del riesgo,
es el producto de la Probabilidad de Amenaza por el impacto del daño, está agrupado en tres
rangos. Bajo Riesgo = 1 – 6 (Verde) Medio Riesgo = 8 – 9 (amarillo) Alto Riesgo = 12 – 16
(rojo)
20. ADMINISTRACIÓN DE RIESGOS No existe una practica para reducir el riesgo a cero (0), solo
la administración debe determinar minimizar la ocurrencia del riesgo, utilizando para ello el
CONTROL interno.
21. MEDIDAS ANTE LA PRESENCIA DE RIESGOS Son los medios utilizados para eliminar o
reducir un riesgo. Se clasifican en: MEDIDAS DE SEGURIDAD ACTIVA. MEDIDAS DE
SEGURIDAD PASIVA Las medidas de Seguridad Activa son utilizadas para reducir o minimizar la
ocurrencia del riesgo y se clasifican en: Medidas Preventivas (antes del incidente) Medidas
Detectivas (durante el incidente)
28. ADMINISTRACIÓN DEL RIESGO Riesgo Total y Riesgo Residual Riesgo Total = Probabilidad
de ocurrencia * Impacto promedio Probabil Grado de Impacto (millones$) Efectivid Riesgo
Riesgo total ad del residual AMENAZA idad Servidores Terminales Datos Instalaciones Personal
Incendio 1% 20 10 16 124 82 2,52 control 100% Inundacion 0,50% 20 20 16 44 2 0,51 90% 0,05
Accesos no autorizados 20% 2 0 24 0 0 5,20 50% 2,60 Fallas 25% 1 1 4 0 0 1,50 50% 0,75 Virus
30% 4 6 2 0 0 3,60 80% 0,72
29. DECISIÓN DEL RIESGO RESIDUAL • • • • T erminar R educir A ceptar P asar
30. DECISIÓN DEL RIESGO RESIDUAL • Terminar: abandonar la actividad por excesivamente
riesgosa • Reducir: fortalecer controles o implementar nuevos controles • Aceptar: tomar el
riesgo • Pasar: contratar, por ejemplo, una póliza de seguro (ejemplo póliza de seguros para
amparar ataques cibernéticos)
32. EN QUE CONSISTE…. La Seguridad Física consiste en la protección del entorno Informático
(hardware y edificios de computo) mediante la aplicación de barreras físicas y procedimientos
de control, ante posibles amenazas físicas
33. VULNERABILIDADES FISICAS Es la situación creada por controles mal diseñados o por la
falta de uno o varios controles y que pueden crear una amenaza que pueden afectar al
entorno informático. Ejemplos: falta de controles de acceso lógico, falta de controles
electricos, inexistencia de un control de soportes magnéticos, falta de cifrado en las
comunicaciones, etc
34. AMENAZAS PARA LA SEG FISICA AMENAZA: Personas o elementos vistos como posible
fuente de peligro o catástrofe. Los mecanismos de seguridad física deben resguardar de
amenazas producidas tanto por el hombre como por la naturaleza los recursos informáticos de
la empresa.
36. AMENAZAS POR PERSONAS Sabotaje internos o externos (conductas dirigidas a causar
daños al hardware o software: accesos no autorizados, daño o modificacion sin autorizacion al
software, Negligencia en aplicación de políticas de seguridad Errores involuntarios o
voluntarios en el uso de la tecnología informática. Ingeniería Social
37. RIESGO RIESGO: la probabilidad de que una amenaza llegue a suceder debido a una
vulnerabilidad con consecuencias negativas.
41. EN QUE CONSISTE La seguridad lógica, se refiere a la protección del uso del software
(datos, programas y aplicaciones), con el fin de mantener la integridad, la confidencialidad y la
disponibilidad de la información.
42. OBJETIVOS Preservar los Activos de Información de la empresa para que sean siempre
utilizados de forma autorizada. Evitar acciones que puedan provocar su alteración,
denegación, borrado o divulgación no autorizados, de forma accidental o intencionada
43. SEGURIDAD LÓGICA La seguridad lógica abarca las siguientes áreas: Aplicaciones
Informáticas. Claves de acceso. Software de control de acceso. Encriptamiento.
44. AUTENTICACIÓN DE USUARIOS Objetivo Asegurar que un usuario es quien dice ser,
cuando accede al Sistema. En general, el proceso de autenticación de un usuario está basado
en: algo que sabe (contraseña); algo que tiene (tarjeta, dispositivo, etc.); algo que es
(características biométricas). La utilización de sólo uno de los métodos anteriores se denomina
Autenticación Simple.
47. CARACTERISTICAS DE LAS CONTRASEÑAS No debe ser reutilizada hasta después de, al
menos, 12 cambios; no contener el identificador de usuario, como parte de la contraseña.