Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Qu
Es
es la seguridad informtica?
el conjunto de Polticas, procedimientos y Polticas, tcnicas para asegurar la integridad, disponibilidad y confiabilidad de datos y sistemas. sistemas.
Prevenir
y detectar amenazas. Responder de amenazas. una forma adecuada y con prontitud ante un incidente. incidente. y Mantener los sistemas funcionando. funcionando.
Proteger
Por
Por
qu la seguridad informtica?
S/.S/.S/., los dueo del negocio tiene dinero S/.S/.S/. INVERTIDO en algo que le trae un beneficio o ventaja. ventaja.
El
Cracking a otros sistemas desde cualquier punto de vista es ilegal. Estamos defendindonos ilegal. ante el crimen. (aunque no haya leyes). crimen. leyes).
Por
CALIDAD, hay que acostumbrarnos a hacer las cosas bien, aunque cueste ms esfuerzo. esfuerzo.
La
Con
sencillas pero constantes son las que evitan la mayora de los problemas. problemas.
debe de trabajar en crear MECANISMOS de seguridad que usan las TECNICAS de seguridad adecuadas segn lo que se quiera proteger. proteger.
Se
Objetivo de la Seguridad Informtica Preservar los activos de una organizacin y mantener la operatividad de la misma basado en los siguiente criterios de la informacin:
Principios que deben tener todos en la Organizacin : Conciencia de la necesidad de seguridad y de que se puede mejorar. Todos son responsables de la seguridad Respuesta oportuna y cooperativa para prevenir, detectar y responder ante incidentes de seguridad. Respeto a los intereses legtimos de otros La seguridad debe ser compatible con los valores de una sociedad democrtica.
Principios que deben tener todos en la Organizacin : Debern ser una gua ante la presencia de una amenaza. La seguridad debe de incorporase como un elemento escencial en los diseos. Debern realizar revisiones, actualizacin y modificaciones a los esquemas de seguridad, segn las necesidades de la organizacin.
Algunas Definiciones
Riesgo : Posibilidad de sufrir una prdida o dao. Seguridad informtica : Todo aquello que se hace para reducir los riesgos a los activos.
Activo
Un activo es algo que tiene valor o utilidad para la organizacin, sus operaciones comerciales y su continuidad.
Activo de Informacin
Se denominan activos los recursos del sistema de informacin o relacionados con ste, necesarios para que la organizacin funcione correctamente y alcance los objetivos propuestos por su direccin. Activo : Datos, software, hardware, Infraestructura, personal, Informacin, etc.
Amenazas
Evento que puede desencadenar un incidente en la organizacin, produciendo daos o prdidas materiales o inmateriales en sus activos.
Vulnerabilidades
Las vulnerabilidades son debilidades seguridad asociadas con los activos informacin de una organizacin. de de
Las vulnerabilidades no causan dao. Simplemente son condiciones que pueden hacer que una amenaza afecte un activo.
Identificacin de vulnerabilidades
1. Seguridad de los recursos humanos 2. Control de acceso 3. Seguridad fsica y ambiental 4. Gestin de operaciones y comunicacin 5. Mantenimiento, desarrollo y adquisicin de sistemas de informacin
Qu es Anlisis de riesgo?
Proceso por el cual se identifican las amenazas y vulnerabilidades de una organizacin. Con el fin de generar controles que minimicen los efectos de los riesgos.
Cules son los Elementos de un anlisis de riesgo? Construir el perfil de las amenazas basado en los activos.
Identificar los activos de la organizacin Identificar las amenazas a los activos Conocer las prcticas actuales de seguridad Identificar las vulnerabilidades organizacionales (Recursos humanos, recursos tcnicos, etc.) Identificar los requerimientos de seguridad de la organizacin
Riesgos para los activos crticos Medidas de riesgos Estratgias de proteccin Planes para reducir los riesgos
Anlisis de Riesgo
Probabilidad de ocurrencia
Qu probabilidad existe de que la amenaza se materialice?
Valoracin 5 Casi cierto mayora de las circunstancias. Probablemente ocurra en 4 Probable la mayora de las circunstancias. 3 2 Posible Improbable Podra ocurrir en algn momento. Pudo ocurrir en algn momento. Puede ocurrir slo en 1 Raro circunstancias excepcionales. Descripcin de la Probabilidad Se espera que ocurra en la Un suceso similar ha sucedido muchas veces por ao en el mismo lugar, operacin o actividad. Un suceso similar ha sucedido muchas veces por ao en esta misma organizacin. Un suceso similar ha sucedido en algn momento en esta organizacin. Un suceso similar ha sucedido en algn momento en una organizacin similar. Un suceso similar has sucedido en la industria a nivel mundial, pero no en esta organizacin.
Impacto
El impacto es el dao sobre el activo derivado de la materializacin de una amenaza.
Valoracin 5 4 3 2 1
Catastrfico Mayor Moderado Menor Insignificante
Descripcin del Impacto Efectos nocivos, enorme prdida financiera. Prejuicios extensivos, prdida financiera mayor. Requiere tratamiento urgente, prdida financiera alta. Tratamiento de primeros auxilios, prdida financiera media. Sin prejuicios, baja prdida financiera.
Riesgos
Probabilidad de que una amenaza pueda explotar una vulnerabilidad en particular
Impactos
Insignificante Menor Moderado Mayor Catastrfico
Probabilidad 5 4 3 2 1
Casi cierto Probable Posible Improbable Raro
ACTIVO A B C D
AMENAZA W X Y Z
Reducir el riesgo
Se deben implementar controles apropiados para poder reducir el riesgo al nivel que se haya definido como aceptable. Reduciendo la posibilidad de que la vulnerabilidad sea explotada por la amenaza. Reduciendo el posible impacto si el riesgo ocurriese, detectando eventos no deseados, reaccionando y recuperndose de ellos.
Controles de Seguridad
y Prctica, procedimiento o mecanismo que
Aceptar el riesgo
No se encuentran controles para mitigar el riesgo. La implantacin de controles tiene un costo mayor que las consecuencias del riesgo. Debe documentarse y definir con precisin el criterio de aceptacin del riesgo, La gerencia debe aprobar la decisin de aceptacin del riesgo.
Transferir el riesgo
La transferencia del riesgo es una opcin cuando para la compaa es difcil reducir el riesgo a un nivel aceptable. Opciones para transferir el riesgo: Aseguradoras Tercerizacin.
Evitar el riesgo
El riesgo puede evitarse por medio de:
No comerciales de Internet). desarrollar ciertas actividades (por ejemplo: la no utilizacin
Mover los activos de un rea de riesgo. Decidir no procesar informacin particularmente sensitiva.
Riesgo residual
Despus de implementar las decisiones relacionadas con el tratamiento de un riesgo, siempre habr un remanente de ese mismo riesgo. Si el riesgo residual se considerara inaceptable, deben tomarse decisiones para resolver su caso. Una opcin es identificar diferentes opciones de tratamiento de riesgo; otra es instaurar ms controles, o hacer arreglos con aseguradoras para reducir finalmente el riesgo a niveles aceptables.