Una amenaza es un fenómeno o proceso natural o causado por el serhumano que puede

poner en peligro a un grupo de personas, suscosas y su ambiente, cuando no son

precavidos.Existen diferentes tipos de amenazas. Algunas son naturales,otras son provocadas
por el ser humano, como las llamadasindustriales o tecnológicas (explosiones, incendios y
derrames de sustancias tóxicas).Las guerras y el terrorismo también son amenazas creadas por
el ser humano.

La vulnerabilidad es la incapacidad de resistencia cuando se presenta un fenómeno

amenazante, o laincapacidad para reponerse después de que ha ocurrido un desastre. Por
ejemplo, las personas que vivenen la planicie son más vulnerables ante las inundaciones que
los que viven en lugares más altos.En realidad, la vulnerabilidad depende de diferentes
factores, tales como la edad y la salud de la persona, las condiciones higiénicas y ambientales
así como la calidad y condiciones de las construcciones y su ubicación en relación con las
amenazas.

El riesgo es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad

o las amenazas, por separado, no representan un peligro. Pero si se juntan, se convierten en
un riesgo, o sea, en la probabilidad de que ocurra un desastre.Sin embargo los riesgos pueden
reducirse o manejarse. Si somos cuidadosos en nuestra relación con el ambiente, y si estamos
conscientes de nuestras debilidades y vulnerabilidades frente a las amenazas existentes,
podemos tomar medidas para asegurarnos de que las amenazas no se conviertan en desastres.

Clase riesgos-amenazas-vulnerabilidades

1. AUDITORIA INFORMATICA Amenazas Vulnerabilidades Riesgos

2. GESTION DE RIESGOS EN INFORMATICA En los sistemas informáticos se presentan:

Vulnerabilidades Amenazas Que Atentan contra La INTEGRIDAD La CONFIDENCIALIDAD La
DISPONIBILIDAD Riesgos

3. GESTION DE RIESGOS Debilidades QUE ES UNA VULNERABILIDAD? Fallas Presentes en los

sistemas informáticos

4. ALGUNAS VULNERABILIDADES EN INFORMÁTICA.  Mala ubicación del centro de computo. 

Software mal configurado.

5. ALGUNAS VULNERABILIDADES EN INFORMÁTICA.  Software desactualizado.  Falta de

Hardware o hardware obsoleto.
6. ALGUNAS VULNERABILIDADES EN INFORMÁTICA.  Ausencia de copias de seguridad o copias
de seguridad incompletas.  Ausencia de seguridad en archivos digitales o archivos físicos
confidenciales.

7. ALGUNAS VULNERABILIDADES EN INFORMÁTICA.  Cuentas de usuario mal configuradas. 

Desconocimiento y/o falta de socialización de normas o políticas a los usuarios por los
responsables de informática.

8. ALGUNAS VULNERABILIDADES EN INFORMÁTICA.  Dependencia exclusiva de un proveedor

de servicio técnico externo.  Ausencia de documentación de la operación de las aplicaciones.

9.  Pantalla en un sistema de información sin bloqueo por el usuario o sin protector de

pantalla.  Centro de computo sin UPS

10. GESTION DE RIESGOS Acciones dañinas QUE SON LAS AMENAZAS? Acciones con
consecuencias negativas A los sistemas informáticos

11. ALGUNAS AMENAZAS EN INFORMÁTICA Se puede Contraer virus.  Se pueden Dañar

equipos de computo  Se puede acceder sin autorización a los sistemas de información.  Se
pueden presentar inundaciones.  Se pueden presentar interrupciones en el servicio.  Pueden
Fallar los equipos de computo.  Se pueden presentar desastres naturales.  Se puede parar la
empresa 

12. RIESGOS RIESGO Probabilidad de que Una amenaza se materialice utilizando una
vulnerabilidad, generando un impacto con perdidas o daños.

13. RIESGOS Algunos ejemplos de riesgos.  Perdida de datos  Información errónea  Daños
en hardware  Perdidas económicas  Perdida de credibilidad.  Caída de la Red.  Servidor
fuera de servicio

14. RIESGOS Destrucción de información confidencial.  Fuga de información.  Falta de

disponibilidad de aplicaciones criticas.  Incendios en el centro de computo.  Perdida de
integridad de los datos. 

15. PROBABILIDAD Probabilidad: de ocurrencia de la amenaza, puede ser cualitativa o

cuantitativa

16. IMPACTO Impacto: consecuencias de la ocurrencia de la amenaza, pueden ser Económicas,

no Económicas

17. VALORACIÓN DEL RIESGO Proceso mediante el cual se establece la probabilidad de que
ocurran daños o pérdidas materiales y la cuantificación de los mismos. La valoración del riesgo,
es el producto de la Probabilidad de Amenaza por el impacto del daño, está agrupado en tres
rangos.  Bajo Riesgo = 1 – 6 (Verde)  Medio Riesgo = 8 – 9 (amarillo)  Alto Riesgo = 12 – 16
(rojo)

18. MATRIZ VALORACIÓN DEL RIESGOS (AMENAZA VS IMPACTO)

19. GESTION DE RIESGOS Los objetivos de la gestión de riesgos son:  Identificar  Controlar 
Reducir o eliminar las fuentes de riesgo antes de que empiecen a afectar al cumplimiento de
los objetivos. (contramedidas)

20. ADMINISTRACIÓN DE RIESGOS No existe una practica para reducir el riesgo a cero (0), solo
la administración debe determinar minimizar la ocurrencia del riesgo, utilizando para ello el
CONTROL interno.

21. MEDIDAS ANTE LA PRESENCIA DE RIESGOS Son los medios utilizados para eliminar o
reducir un riesgo. Se clasifican en:  MEDIDAS DE SEGURIDAD ACTIVA.  MEDIDAS DE
SEGURIDAD PASIVA Las medidas de Seguridad Activa son utilizadas para reducir o minimizar la
ocurrencia del riesgo y se clasifican en: Medidas Preventivas (antes del incidente)  Medidas
Detectivas (durante el incidente) 

22. MEDIDAS ANTE LA PRESENCIA DE RIESGOS  medidas preventivas: La autenticación de

usuarios (contraseñas)  El control de acceso a los datos (permisos o privilegios)  La
encriptación de datos sensibles o confidenciales.  La instalación y correcta configuración de
un buen antivirus.  La socialización a los usuarios de normas y politicas en informatica. 

23. MEDIDAS ANTE LA PRESENCIA DE RIESGOS      La actualización del software (sistemas

operativos, aplicaciones, programas) La instalación de hardware redundante en los servidores
(discos espejos, fuentes de energía, tarjetas de red. La instalación de una UPS. La validación de
los datos. La implementación de sistemas de acceso al CPD.

24. MEDIDAS ANTE LA PRESENCIA DE RIESGOS  Medidas Detectivas: Sistemas de detección de

intrusos  Procedimientos para análisis de los log  Antivirus  Antispyware.  Firewalls o
cortafuegos 

25. MEDIDAS ANTE LA PRESENCIA DE RIESGOS  MEDIDAS DE SEGURIDAD PASIVAS. Son

medidas utilizadas para minimizar el impacto causado cuando se presenta el incidente.
También se conocen como medidas correctivas. (se aplican después de ocurrido el incidente).
La recuperación de datos usando una copia de seguridad.  Ejecución de un plan de
contingencias. 

26. CICLO ADMINISTRACIÓN DE RIESGOS LA ADMINISTRACIÓN DE RIESGOS EMPRESARIALES

REQUIERE: 2a 1 IDENTIFICAR VAR DEFINIR IMPACTO 2 PONDERAR CADA RIESGO 2b TOMAR
DECISION RIESGO RESIDUAL 4 PROBABILIDA DE OCURRENCIA EVALUAR EFECTIVIDA
CONTROLES 3

27. RIESGO RESIDUAL Es un suceso o circunstancia indeterminada que permanece después de

haber ejecutado todos los controles a los riesgos

28. ADMINISTRACIÓN DEL RIESGO Riesgo Total y Riesgo Residual Riesgo Total = Probabilidad
de ocurrencia * Impacto promedio Probabil Grado de Impacto (millones$) Efectivid Riesgo
Riesgo total ad del residual AMENAZA idad Servidores Terminales Datos Instalaciones Personal
Incendio 1% 20 10 16 124 82 2,52 control 100% Inundacion 0,50% 20 20 16 44 2 0,51 90% 0,05
Accesos no autorizados 20% 2 0 24 0 0 5,20 50% 2,60 Fallas 25% 1 1 4 0 0 1,50 50% 0,75 Virus
30% 4 6 2 0 0 3,60 80% 0,72
29. DECISIÓN DEL RIESGO RESIDUAL • • • •  T erminar R educir A ceptar P asar

30. DECISIÓN DEL RIESGO RESIDUAL • Terminar: abandonar la actividad por excesivamente
riesgosa • Reducir: fortalecer controles o implementar nuevos controles • Aceptar: tomar el
riesgo • Pasar: contratar, por ejemplo, una póliza de seguro (ejemplo póliza de seguros para
amparar ataques cibernéticos)

31. SEGURIDAD FISICA

32. EN QUE CONSISTE…. La Seguridad Física consiste en la protección del entorno Informático
(hardware y edificios de computo) mediante la aplicación de barreras físicas y procedimientos
de control, ante posibles amenazas físicas

33. VULNERABILIDADES FISICAS  Es la situación creada por controles mal diseñados o por la
falta de uno o varios controles y que pueden crear una amenaza que pueden afectar al
entorno informático. Ejemplos: falta de controles de acceso lógico, falta de controles
electricos, inexistencia de un control de soportes magnéticos, falta de cifrado en las
comunicaciones, etc

34. AMENAZAS PARA LA SEG FISICA  AMENAZA: Personas o elementos vistos como posible
fuente de peligro o catástrofe. Los mecanismos de seguridad física deben resguardar de
amenazas producidas tanto por el hombre como por la naturaleza los recursos informáticos de
la empresa.

35. AMENAZAS FÍSICAS Ejemplo de amenazas físicas  inundaciones  incendios  Terremotos

 Fugas de agua

36. AMENAZAS POR PERSONAS Sabotaje internos o externos (conductas dirigidas a causar
daños al hardware o software: accesos no autorizados, daño o modificacion sin autorizacion al
software, Negligencia en aplicación de políticas de seguridad  Errores involuntarios o
voluntarios en el uso de la tecnología informática.  Ingeniería Social 

37. RIESGO  RIESGO: la probabilidad de que una amenaza llegue a suceder debido a una
vulnerabilidad con consecuencias negativas.

38. CONTROLES PARA SEG FISICA             Instalación de Alarmas. Extintores

manuales de incendios. Sensores de temperatura. Detectores de humo. Ubicación estratégica
del centro de cómputos. Paredes, pisos y cielorrasos a prueba de incendios Protectores de
voltaje Interruptor de energía de emergencia No comer, beber, fumar dentro del centro de
cómputos Humedad y Temperaturas adecuadas Planes documentados y probados de
evacuación de emergencia. Adquisición de UPS.

39. CONTROLES DE ACCESO FÍSICO          Cerraduras con combinación. Cerraduras

electrónicas: utiliza llave, ficha o tarjeta magnética. Cerraduras biométricas. Bitácora o registro
manual: libro de visitantes que incluya nombre, motivo de la visita, fecha, hora y firma Cámara
de video. Guardias de Seguridad Acceso controlado de visitantes: ej. acompañados siempre de
un empleado responsable. Sistema de alarma. 2 puertas de acceso ubicadas en sentidos
contrarios
40. SEGURIDAD LOGICA

41. EN QUE CONSISTE La seguridad lógica, se refiere a la protección del uso del software
(datos, programas y aplicaciones), con el fin de mantener la integridad, la confidencialidad y la
disponibilidad de la información.

42. OBJETIVOS Preservar los Activos de Información de la empresa para que sean siempre
utilizados de forma autorizada. Evitar acciones que puedan provocar su alteración,
denegación, borrado o divulgación no autorizados, de forma accidental o intencionada

43. SEGURIDAD LÓGICA La seguridad lógica abarca las siguientes áreas:  Aplicaciones
Informáticas.  Claves de acceso.  Software de control de acceso.  Encriptamiento.

44. AUTENTICACIÓN DE USUARIOS    Objetivo Asegurar que un usuario es quien dice ser,
cuando accede al Sistema. En general, el proceso de autenticación de un usuario está basado
en: algo que sabe (contraseña); algo que tiene (tarjeta, dispositivo, etc.); algo que es
(características biométricas). La utilización de sólo uno de los métodos anteriores se denomina
Autenticación Simple.

45. CARACTERISTICAS DE LAS CONTRASEÑAS    Para la protección de los Activos de

Información de la empresa y la protección del propio usuario, la contraseña: Tiene que ser
secreta y no compartida con nadie, No puede ser visualizada en pantalla mientras se teclea, No
puede ser almacenada en claro (sin cifrar).

46. CARACTERISTICAS DE LAS CONTRASEÑAS tener una longitud mínima de 6 caracteres; o

tener al menos un carácter numérico y uno alfabético;  no empezar ni terminar con un
número;  no tener mas de dos caracteres iguales consecutivos.  ser cambiada, al menos,
cada 60 días para usuarios generales y cada 30 días para usuarios que tengan algún tipo de
privilegio o autoridad. Tiene que haber instalado un control que informe a los usuarios cuando
su contraseña tiene que ser cambiada; 

47. CARACTERISTICAS DE LAS CONTRASEÑAS   No debe ser reutilizada hasta después de, al
menos, 12 cambios; no contener el identificador de usuario, como parte de la contraseña.