0 calificaciones0% encontró este documento útil (0 votos)
24 vistas10 páginas
Este documento presenta una introducción a la asignatura de Gestión del Riesgo Informático. Explica conceptos clave como amenaza, vulnerabilidad y riesgo, y marcos como COBIT. Además, provee un ejemplo de cómo identificar y evaluar riesgos en un hospital, incluyendo activos críticos, requisitos de seguridad, perfiles de amenazas, vulnerabilidades y estrategias de mitigación. Finalmente, concluye que la evaluación de riesgos debe ser específica a cada organización y reevaluada periódicamente.
Este documento presenta una introducción a la asignatura de Gestión del Riesgo Informático. Explica conceptos clave como amenaza, vulnerabilidad y riesgo, y marcos como COBIT. Además, provee un ejemplo de cómo identificar y evaluar riesgos en un hospital, incluyendo activos críticos, requisitos de seguridad, perfiles de amenazas, vulnerabilidades y estrategias de mitigación. Finalmente, concluye que la evaluación de riesgos debe ser específica a cada organización y reevaluada periódicamente.
Este documento presenta una introducción a la asignatura de Gestión del Riesgo Informático. Explica conceptos clave como amenaza, vulnerabilidad y riesgo, y marcos como COBIT. Además, provee un ejemplo de cómo identificar y evaluar riesgos en un hospital, incluyendo activos críticos, requisitos de seguridad, perfiles de amenazas, vulnerabilidades y estrategias de mitigación. Finalmente, concluye que la evaluación de riesgos debe ser específica a cada organización y reevaluada periódicamente.
rmartinezm@correo.iue.edu.co Asignatura: IF2016-GESTIÓN DEL RIESGO INFORMÁTICO. Terminología de la asignatura Pacto pedagógico – Carta Descriptiva Compromiso Subir a Interactiva Semana Santa Abril 3 – 7 Termina Clase 4 Junio Finales Jun-5-9 Origen de la Formalización del riesgo. Código CONSULTA ABIERTA AMENZA - VULNERABILIDAD-RIESGO - COBIT 1 BOLIVAR OCHOA JONATHAN (Control Objectives for Information and relatedTechnology)
NORMAS - POLICAS - ESTANDARES - COBIT
2 GOMEZ GRAJALES MANUELA (Control Objectives for Information and relatedTechnology)
VIRUS - ATAQUES INFORMATICOS - - COBIT
3 HOYOS SOSSA BAIRON DUVERNEY (Control Objectives for Information and relatedTechnology)
DELICUENTES INFORMATICOS - COBIT
4 JARAMILLO HENAO JUAN (Control Objectives for Information and relatedTechnology) Origen de la Formalización del riesgo.
El riesgo ha existido inherente a cada acción que
realiza el ser humano. Organización – Dependencia de la Tecnología como apoyo para mejorar su eficiencia, efectividad y productividad. Las TI se han convertido en un gran factor de riesgo - Vulnerabilidad -amenazas sobre los servicios de TI Origen de la Formalización del riesgo.
Riesgos Tecnológicos requieren Controles para
mitigarlos La tecnología requiere políticas, normas y procedimientos que conlleven a la mitigación del riesgo. Se debe realizar un análisis de cada riesgo para conocer y cuantificar el impacto de que el riesgo se lleve a cabo, así como su probabilidad de ocurrencia. Identificar Activos críticos en la organización. Ejemplo de un caso en un hospital (Gestión Riesgo):
Se identifican los activos relacionados con la
información que son de mayor criticidad para la operación y subsistencia de la organización. En caso de un hospital se podrían identificar como activos críticos: El sistema de manejo de historias clínicas de los pacientes. Los equipos de cómputo usados por los médicos para acceder al sistema de historias clínicas Y las historias clínicas en sí mismas. Ejemplo de un caso en un hospital (Gestión Riesgo):
Requerimientos de seguridad para los activos críticos:
Se consideran aspectos de confidencialidad, integridad y disponibilidad. Para el sistema de manejo de historias clínicas, se tendría la disponibilidad como principal requerimiento para poder garantizar la atención continua a los pacientes. Perfiles de amenazas: identifica el actor que genera la amenaza, el motivo u objetivo que perseguiría el actor, la manera como podría acceder al activo (físicamente, a través de la red) y el impacto que generaría sobre el activo y sobre la organización (modificación, destrucción, pérdida, interrupción, vulnerabilidad de la confidencialidad, etc.). Ejemplo de un caso en un hospital (Gestión Riesgo):
Prácticas actuales de seguridad: Se identifican las
prácticas de seguridad en la organización. En el caso del hospital, podrían identificarse vulnerabilidades como la no existencia de políticas claras de seguridad, el manejo inadecuado de contraseñas de acceso a los sistemas y problemas de capacitación y entrenamiento. Identificar vulnerabilidades en la infraestructura. Componentes claves: firewalls, servidores, Routers, sistemas de backup y almacenamiento de información, Aplicaciones, entre otros. Ejemplo de un caso en un hospital (Gestión Riesgo):
Desarrollar estrategias y planes de seguridad. Se crea
una estrategia de protección y planes de mitigación, basados en la información recolectada. Identificación y evaluación de riesgos:(alto, medio, bajo). Por ejemplo, en el caso del hospital, una modificación no autorizada sobre una historia clínica puede considerarse como de impacto alto, dado que genera riesgos a la vida de los pacientes, expone al hospital a demandas y puede afectar de manera muy negativa la imagen del centro hospitalario.
Se debe desarrollar estrategia de protección y planes de
mitigación del riesgo, planes de mejoras, …. Conclusión
Es evidente también que una evaluación de riesgos es
muy particular para cada organización y que no es sano desarrollar una evaluación de riesgos de una empresa a partir de los resultados obtenidos por una organización diferente.
Antes de pensar en comprar cualquier tipo de equipos o
software asociados a seguridad, es necesario haber aplicado alguna metodología de análisis de riesgos para ser efectivos en el control de éstos.
El Riesgo debe evaluarse periódicamente.
Bibliografía: • Metodología y gobierno de la gestión de riesgos de tecnologías de la información - Risk Management - Ricardo Gómez, Diego Hernán Pérez, Yesid Donoso, Andrea Herrera