Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Gestión del riesgo informático

    Cargado por

    Jonathan bolivar ochoa
    24 vistas10 páginas
    Este documento presenta una introducción a la asignatura de Gestión del Riesgo Informático. Explica conceptos clave como amenaza, vulnerabilidad y riesgo, y marcos como COBIT. Además, provee un ejemplo de cómo identificar y evaluar riesgos en un hospital, incluyendo activos críticos, requisitos de seguridad, perfiles de amenazas, vulnerabilidades y estrategias de mitigación. Finalmente, concluye que la evaluación de riesgos debe ser específica a cada organización y reevaluada periódicamente.

    Descripción original:

    Título original

    Presentacion Gestion del Riesgo Informatico.pptx

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPTX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Este documento presenta una introducción a la asignatura de Gestión del Riesgo Informático. Explica conceptos clave como amenaza, vulnerabilidad y riesgo, y marcos como COBIT. Además, provee un ejemplo de cómo identificar y evaluar riesgos en un hospital, incluyendo activos críticos, requisitos de seguridad, perfiles de amenazas, vulnerabilidades y estrategias de mitigación. Finalmente, concluye que la evaluación de riesgos debe ser específica a cada organización y reevaluada periódicamente.

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    24 vistas10 páginas

    Gestión del riesgo informático

    Cargado por

    Jonathan bolivar ochoa
    Este documento presenta una introducción a la asignatura de Gestión del Riesgo Informático. Explica conceptos clave como amenaza, vulnerabilidad y riesgo, y marcos como COBIT. Además, provee un ejemplo de cómo identificar y evaluar riesgos en un hospital, incluyendo activos críticos, requisitos de seguridad, perfiles de amenazas, vulnerabilidades y estrategias de mitigación. Finalmente, concluye que la evaluación de riesgos debe ser específica a cada organización y reevaluada periódicamente.

    Copyright:

    © All Rights Reserved
    Descargue como PPTX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 10

    PRESENTACION

    Profesor: Raquel Martinez Morales


    rmartinezm@correo.iue.edu.co
    Asignatura:
     IF2016-GESTIÓN DEL RIESGO INFORMÁTICO.
     Terminología de la asignatura
     Pacto pedagógico – Carta Descriptiva
     Compromiso Subir a Interactiva
     Semana Santa Abril 3 – 7
     Termina Clase 4 Junio
     Finales Jun-5-9
     Origen de la Formalización del riesgo.
    Código CONSULTA ABIERTA
    AMENZA - VULNERABILIDAD-RIESGO - COBIT
    1 BOLIVAR OCHOA JONATHAN (Control Objectives for Information and
    relatedTechnology)

    NORMAS - POLICAS - ESTANDARES - COBIT


    2 GOMEZ GRAJALES MANUELA (Control Objectives for Information and
    relatedTechnology)

    VIRUS - ATAQUES INFORMATICOS - - COBIT


    3 HOYOS SOSSA BAIRON DUVERNEY (Control Objectives for Information and
    relatedTechnology)

    DELICUENTES INFORMATICOS - COBIT


    4 JARAMILLO HENAO JUAN (Control Objectives for Information and
    relatedTechnology)
    Origen de la Formalización del riesgo.

     El riesgo ha existido inherente a cada acción que


    realiza el ser humano.
     Organización – Dependencia de la Tecnología como
    apoyo para mejorar su eficiencia, efectividad y
    productividad.
     Las TI se han convertido en un gran factor de riesgo
    - Vulnerabilidad -amenazas sobre los servicios de TI
    Origen de la Formalización del riesgo.

     Riesgos Tecnológicos requieren Controles para


    mitigarlos
     La tecnología requiere políticas, normas y
    procedimientos que conlleven a la mitigación del
    riesgo.
     Se debe realizar un análisis de cada riesgo para
    conocer y cuantificar el impacto de que el riesgo
    se lleve a cabo, así como su probabilidad de
    ocurrencia.
     Identificar Activos críticos en la organización.
    Ejemplo de un caso en un hospital (Gestión Riesgo):

    Se identifican los activos relacionados con la


    información que son de mayor criticidad para la
    operación y subsistencia de la organización.
    En caso de un hospital se podrían identificar como
    activos críticos:
     El sistema de manejo de historias clínicas de los
    pacientes.
     Los equipos de cómputo usados por los médicos para
    acceder al sistema de historias clínicas
     Y las historias clínicas en sí mismas.
    Ejemplo de un caso en un hospital (Gestión Riesgo):

     Requerimientos de seguridad para los activos críticos:


    Se consideran aspectos de confidencialidad,
    integridad y disponibilidad. Para el sistema de manejo
    de historias clínicas, se tendría la disponibilidad como
    principal requerimiento para poder garantizar la
    atención continua a los pacientes.
     Perfiles de amenazas: identifica el actor que genera la
    amenaza, el motivo u objetivo que perseguiría el
    actor, la manera como podría acceder al activo
    (físicamente, a través de la red) y el impacto que
    generaría sobre el activo y sobre la organización
    (modificación, destrucción, pérdida, interrupción,
    vulnerabilidad de la confidencialidad, etc.).
    Ejemplo de un caso en un hospital (Gestión Riesgo):

     Prácticas actuales de seguridad: Se identifican las


    prácticas de seguridad en la organización. En el caso
    del hospital, podrían identificarse vulnerabilidades
    como la no existencia de políticas claras de seguridad,
    el manejo inadecuado de contraseñas de acceso a los
    sistemas y problemas de capacitación y
    entrenamiento.
     Identificar vulnerabilidades en la infraestructura.
    Componentes claves: firewalls, servidores, Routers,
    sistemas de backup y almacenamiento de información,
    Aplicaciones, entre otros.
    Ejemplo de un caso en un hospital (Gestión Riesgo):

     Desarrollar estrategias y planes de seguridad. Se crea


    una estrategia de protección y planes de mitigación,
    basados en la información recolectada. Identificación y
    evaluación de riesgos:(alto, medio, bajo). Por ejemplo,
    en el caso del hospital, una modificación no autorizada
    sobre una historia clínica puede considerarse como de
    impacto alto, dado que genera riesgos a la vida de los
    pacientes, expone al hospital a demandas y puede
    afectar de manera muy negativa la imagen del centro
    hospitalario.

    Se debe desarrollar estrategia de protección y planes de


    mitigación del riesgo, planes de mejoras, ….
    Conclusión

     Es evidente también que una evaluación de riesgos es


    muy particular para cada organización y que no es sano
    desarrollar una evaluación de riesgos de una empresa a
    partir de los resultados obtenidos por una organización
    diferente.

     Antes de pensar en comprar cualquier tipo de equipos o


    software asociados a seguridad, es necesario haber
    aplicado alguna metodología de análisis de riesgos para
    ser efectivos en el control de éstos.

     El Riesgo debe evaluarse periódicamente.


    Bibliografía:
    • Metodología y gobierno de la gestión de riesgos de
    tecnologías de la información - Risk Management -
    Ricardo Gómez, Diego Hernán Pérez, Yesid Donoso,
    Andrea Herrera

    • El riesgo y la historia empresarial antioqueña

    También podría gustarte