administración de riesgos en informatica
TRANSCRIPT
![Page 1: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/1.jpg)
Administración de Riesgos en Seguridad
Informática
![Page 2: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/2.jpg)
Qué es Administración de Riesgos?
Herramienta gerencial que apoya la toma de decisiones organizacionales facilitando con ello el cumplimiento de los objetivos del negocio.
![Page 3: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/3.jpg)
RIESGOSRIESGOS
• Proceso iterativo basado en el conocimiento, valoración, tratamiento y monitoreo de los riesgos y sus impactos en el negocio
![Page 4: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/4.jpg)
• Aplicable a cualquier situación donde un resultado no deseado o inesperado podría ser significativo en el logro de los objetivos o donde se identifiquen oportunidades de negocio.
UbicaciónUbicaciónGeográficaGeográfica
UnidadUnidadOrganizacionalOrganizacional
Sistema de Sistema de InformaciónInformación
ProyectoProyectoProcesoProceso
OportunidadOportunidad
![Page 5: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/5.jpg)
1. Establecer Marco General
2. Identificar Riesgos
3. Análisis de Riesgos
4. Evaluar y Priorizar Riesgos
5. Tratamiento del Riesgo
Monitorear y Revisar
Monitorear y Revisar
Proceso de Administración de Riesgos
![Page 6: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/6.jpg)
1.3. Identificar Criterios de Calificación
1.1. Entender el Entorno
1.2. Entender la Oganización
Administración de Riesgos1. Establecer Marco General
1.4. Identificar Objetos Críticos1.4. Identificar Objetos Críticos
![Page 7: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/7.jpg)
1.3. Identificar Criterios de Calificación
1.1. Entender el Entorno
1.2. Entender la Oganización
Administración de Riesgos1. Establecer Marco General
1.4. Identificar Objetos Críticos1.4. Identificar Objetos Críticos
![Page 8: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/8.jpg)
1.3. Identificar Criterios de Calificación
1.1. Entender el Entorno
1.2. Entender la Oganización
Administración de Riesgos1. Establecer Marco General
1.4. Identificar Objetos Críticos1.4. Identificar Objetos Críticos
![Page 9: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/9.jpg)
Objeto 1Objeto 1
Objeto 2Objeto 2
Objeto 3Objeto 3
Objeto nObjeto n
Cri
teri
o 1
Cri
teri
o 1
Cri
teri
o 2
Cri
teri
o 2
Cri
teri
o 3
Cri
teri
o 3
Cri
teri
o 4
Cri
teri
o 4
Cri
teri
o 5
Cri
teri
o 5
Cri
teri
o n
Cri
teri
o n
Cri
teri
o 6
Cri
teri
o 6
Cri
teri
o 8
Cri
teri
o 8
Cri
teri
o 7
Cri
teri
o 7
Administración de RiesgosQué y Cómo calificar - priorizar?
![Page 10: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/10.jpg)
Interés de la Dirección
Procesos – Subprocesos
Proyectos
Unidades Orgánicas
Sistemas - Aplicaciones
Geográficamente
Lista de Objetos a los cuáles se les puede realizar Administración de Riesgos
Administración de RiesgosQué calificar - Objetos?
Cómo dividir la organización?
![Page 11: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/11.jpg)
Administración de RiesgosCómo calificar – Criterios?
• Calidad del Control Interno• Competencia de la Dirección (entrenamiento, experiencia,
compromiso y juicio)• Integridad de la Dirección (códigos de ética)• Cambios recientes en procesos (políticas, sistemas, o
dirección)• Tamaño de la Unidad (Utilidades, Ingresos, Activos)• Liquidez de activos• Cambio en personal clave• Complejidad de operaciones• Crecimiento rápido• Regulación gubernamental• Condición económica deteriorada de una unidad• Presión de la Dirección en cumplir objetivos• Nivel de moral de los empleados• Exposición política / Publicidad adversa• Distancia de la oficina principal
De Negocio
IIA
• Exposición financiera• Pérdida y riesgo potencial• Requerimientos de la dirección• Cambios importantes en operaciones,
programas, sistemas y controles• Oportunidades de alcanzar beneficios
operativos• Capacidades del persona
• Pérdida financiera• Pérdida de imagen• Discontinuidad del negocio• Incumplimiento de la misión
![Page 12: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/12.jpg)
Confidencialidad
Integridad Disponibilidad
Administración de RiesgosCómo calificar – Criterios Seguridad Informática
![Page 13: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/13.jpg)
2.1. Establecer el Contexto de Administración de Riesgos
2.2. Desarrollar Criterios de Valoración de Riesgos
2.3. Definir la Estructura
2.4. Identificar riesgos
2.5. Identificar causas
Administración de Riesgos2. Identificar Riesgos
![Page 14: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/14.jpg)
Hardware
Software Datos
Medios de almacenamientoRedesAcceso
Gente clave
Administración de RiesgosSeguridad Informática - Activos
![Page 15: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/15.jpg)
Hardware
Servidores, estaciones cliente, dispositivos de comunicación (router, bridge, hub, gateway, modem), dispositivos periférico, cables, fibras
Software (o Servicios)
Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones, herramientas (administrativas, mantenimiento, backup), software bajo desarrollo
Datos
De la organización: bases de datos, hojas electrónicas, procesamiento de palabra, e-mail
De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria, configuración y parámetros de la red
De los usuarios: datos procesados personal, archivos de propiedad del usuario.
Administración de RiesgosSeguridad en Redes – Activos (Componentes)
![Page 16: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/16.jpg)
R1 = Acceso no autorizado a la red o sus recursos
R2 = Divulgación no autorizada de información
R3 = Modificación no autorizada a datos y/o software
R4 = Interrupción de las funciones de la red (no disponibilidad de datos o servicios)R4a = incluyendo perdida o degradación de las comunicacionesR4b = incluyendo destrucción de equipos y/o datosR4c = incluyendo negación del servicio
R5 = Acciones engañosas en la red (no saber quien)
Administración de RiesgosSeguridad en Redes - Riesgos
![Page 17: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/17.jpg)
Information Security Risks
Physical Damage: Fire, water, power loss, vandalism
Human Error: Accidental or intentional action
Equipment malfunction: Failure of system
Inside and outside attacks: Hacking , cracking
Misuse of data: Sharing trade secrets
Loss od data: Intentional or unintentional loss
Application error: Computation errors, input errors
![Page 18: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/18.jpg)
CausaCausaEvento primario fundamento u Evento primario fundamento u
orígen orígen de una consecuencia una consecuencia
RiesgoConcepto usado para expresar incertidumbre sobre "consecuencias y/o eventos que podrían llegar a impactar el logro de los objetivos"
ConsecuenciaResultado de un evento o
situación expresado cualitativa o
cuantitativamente
EventoSituación que podría llegar a
ocurrir en un lugar determinado en un momento
dado
Administración de Riesgos2. Cómo escribir Riesgos?
![Page 19: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/19.jpg)
Causa,Evento primario
o Situación
RiesgoRiesgoConcepto usado para expresar incertidumbre sobre Concepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el logro "consecuencias y/o eventos que podrían llegar a impactar el logro de los objetivos"de los objetivos"
Evento,AmenazaConsecuencia,
Impacto,Exposicióno Resultado
++
Administración de Riesgos2. Cómo escribir Riesgos?
![Page 20: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/20.jpg)
Violación de la privacidad
Demandas legales
Perdida de tecnología propietaria
Multas
Perdida de vidas humanas
Desconcierto en la organización
Perdida de confianza
Administración de RiesgosSeguridad en redes – Impactos Significativos
![Page 21: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/21.jpg)
Naturales
Accidentales
Deliberadas
Administración de RiesgosSeguridad Informática - Amenazas
![Page 22: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/22.jpg)
Origen Amenaza directa Impacto inmediato
Terremotos, tormentas eléctricas
Fenómenos astrofísicos
Fenómenos biológicos
Interrupción de potencia, temperatura extrema debido a daños en construcciones,
Perturbaciones electromagnéticas
Muerte de personal crítico
R4, R4a, R4b
R4, R4a
R4, R4c
Administración de RiesgosSeguridad Informática – Amenazas Naturales
![Page 23: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/23.jpg)
Origen Amenaza directa Impacto inmediato
Error del Usuario
Error del Administrador
Fallas de equipos
Borrado de archivos, Formateo de drive, mal empleo de equipos, errores de entrada
Configuración inapropiada de parámetros, borrado de información
Problemas técnicos con servidores de archivos, servidores de impresión, dispositivos de comunicación, estaciones cliente, equipo de soporte (cintas de back-up, control de acceso, derrame de café)
R3, R4
R1: R2, R3, R4, R5
R3, R4, R4b
Administración de RiesgosSeguridad Informática – Amenazas Accidentales
![Page 24: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/24.jpg)
•Amateurs•Hackers• Empleados maliciosos• Rateros•Crackers• Vándalos•Criminales•Espías (gobiernos foráneos)• Terroristas
Administración de RiesgosSeguridad Informática – Involucrados
![Page 25: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/25.jpg)
Características o debilidades en el sistema de seguridad que pueden ser explotadas para causar daños o perdidas (facilitan la ocurrencia de una amenaza)
• Interrupción: un activo se pierde, no está disponible, o no se puede utilizar
• Intercepción: alguna parte (persona, programa o sistema de computo) no autorizada accede un activo
• Modificación: una parte no autorizada accede y manipula indebidamente un activo
• Fabricación: Fabricar e insertar objetos falsos en un sistema computacional
Administración de RiesgosSeguridad Informática – Vulnerabilidades
![Page 26: Administración de riesgos en informatica](https://reader033.vdocuments.pub/reader033/viewer/2022052601/5596041a1a28ab152d8b4595/html5/thumbnails/26.jpg)
Hardware
Software Datos
Interrupción (Negación del Servicio) Intercepción (Robo)
Administración de RiesgosSeguridad Informática – Vulnerabilidades