Академический Документы
Профессиональный Документы
Культура Документы
en Seguridad Informática
¿Qué es Administración de Riesgos?
Proceso iterativo
basado en el
conocimiento,
valoración,
tratamiento y
monitoreo de los RIESGOS
riesgos y sus impactos
en el negocio
¿Qué es Administración de Riesgos?
Aplicable a cualquier
situación donde un
resultado no deseado o Proceso Proyecto
donde se identifiquen
oportunidades de Oportunidad Ubicación
negocio Geográfica
Proceso de Administración de Riesgos
2. Identificar Riesgos
Monitorear
3. Análisis de Riesgos
y Revisar
Aspectos financieros,
operacionales, competitivos,Objetos Críticos Objetivos
1.4. Identificar
políticos (percepción / imagen),
sociales, clientes, culturales y Estrategias
legales
Stakeholders
Administración de Riesgos
1. Establecer Marco General
Metodología
1.1. Entender el Entorno
Políticas
Criterios de Calificación y Tablas de Valoración
1.2. Entender la Oganización
Universo de Objetos y Objetos Críticos Priorizados
Criterio 1
Criterio n
Criterio 2
Criterio 3
Criterio 4
Criterio 5
Criterio 6
Criterio 7
Criterio 8
Objeto 1
Objeto 2
Objeto 3
Objeto n
Administración de Riesgos
¿Qué calificar - Objetos?
Interés de la Dirección
Procesos – Subprocesos Lista de Objetos
a los cuáles se les
Proyectos puede realizar
Unidades Orgánicas Administración
Sistemas - Aplicaciones de Riesgos
Geográficamente
Administración de Riesgos
¿Qué calificar - Objetos?
Basado en Procesos (Negocio – COBIT)
Planeación estratégica de sistemas
Desarrollo de sistemas
Evolución o mantenimiento de sistemas
Basado en Sistemas
Integración de paquetes de software
Capacitación
Proceso de datos en ambientes de trabajo en batch
Basado en Proyectos
Atención a requerimientos de usuarios
Administrar servicios de terceros (incluye outsourcing)
Administración de proyectos
Basado en
Administración deInfraestructura
la infraestructura informática
Dirección y control del área de tecnología de información
Administración de recursos materiales (equipo, tecnología e instalaciones)
Administración de recursos humanos
Administración de recursos financieros
Administración de Riesgos
¿Qué calificar - Objetos?
Basado en Procesos (Negocio – COBIT)
Basado en Sistemas
Para un sistema en particular
Programas – Archivos - Procedimientos
Eventos - Entrada – Comunicación – Proceso – Salida - Distribución
Basado en Proyectos
Basado en Infraestructura
Administración de Riesgos
¿Qué calificar - Objetos?
Basado en Procesos (Negocio – COBIT)
Basado en Sistemas
Basado en Proyectos
A Productos
Análisis al Proceso
Basado en Infraestructura
Administración de Riesgos
¿Qué calificar - Objetos?
Basado en Procesos (Negocio – COBIT)
Basado en Sistemas
Datos Sistemas de Información (Aplicaciones)
Tecnología (Equipos – SW de base y SMBD – SW de Productividad –
Metodologías)
Basado en Proyectos
Instalaciones Recursos Humanos
Elementos de Administración
Recursos Financieros Proveedores
Basado en Infraestructura
Administración de Riesgos
¿Cómo calificar – Criterios?
De Negocio •• Pérdida financiera
Pérdida de imagen
• Discontinuidad del negocio
• Incumplimiento de la misión
• Calidad del Control Interno
IIA • Competencia de la Dirección (entrenamiento, experiencia,
compromiso y juicio)
• Integridad de la Dirección (códigos de ética)
• Exposición financiera • Cambios recientes en procesos (políticas, sistemas, o
• Pérdida y riesgo potencial dirección)
• Requerimientos de la dirección • Tamaño de la Unidad (Utilidades, Ingresos, Activos)
• Cambios importantes en operaciones, • Liquidez de activos
programas, sistemas y controles • Cambio en personal clave
• Oportunidades de alcanzar beneficios • Complejidad de operaciones
operativos • Crecimiento rápido
• Capacidades del persona • Regulación gubernamental
• Condición económica deteriorada de una unidad
• Presión de la Dirección en cumplir objetivos
• Nivel de moral de los empleados
• Exposición política / Publicidad adversa
• Distancia de la oficina principal
Administración de Riesgos
¿Cómo calificar? – Criterios Seguridad Informática
Confidencialidad
Los activos de un sistema computacional son accedidos solo por personas autorizadas
El tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o aún solo conociendo la
existencia de un objeto
SECRETO, RESERVA, PRIVACIDAD
Integridad
“SOLO PERSONAS Disponibilidad
AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS”
Hardware
Software Datos
Medios de almacenamiento
Redes
Acceso
Gente clave
Administración de Riesgos
Seguridad en Redes – Activos (Componentes)
Hardware
Servidores, estaciones cliente, dispositivos de comunicación (router, bridge,
hub, gateway, modem), dispositivos periférico, cables, fibras
Software (o Servicios)
Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones,
herramientas (administrativas, mantenimiento, backup), software bajo desarrollo
Datos
De la organización: bases de datos, hojas electrónicas, procesamiento de palabra, e-
mail
De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria,
configuración y parámetros de la red
De los usuarios: datos procesados personal, archivos de propiedad del usuario
Administración de Riesgos
Seguridad en Redes - Riesgos
Consecuencia Evento
Resultado de un evento o Situación que podría llegar a
situación expresado ocurrir en un lugar
cualitativa o determinado en un momento
cuantitativamente dado
Causa
Evento primario fundamento
u orígen de una consecuencia
Administración de Riesgos
2. ¿Cómo escribir Riesgos?
Riesgo
Concepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el
logro de los objetivos"
Consecuencia, Evento,
Impacto, Amenaza
Exposición
o Resultado
+ Causa,
Evento primario
o Situación
Administración de Riesgos
Seguridad en redes – Impactos Significativos
Violación de la privacidad
Demandas legales
Perdida de tecnología propietaria
Multas
Perdida de vidas humanas
Desconcierto en la organización
Perdida de confianza
Administración de Riesgos
Seguridad Informática - Amenazas
Naturales
Accidentales
Deliberadas
Administración de Riesgos
Seguridad Informática – Amenazas Naturales
•Amateurs
•Hackers
• Empleados maliciosos
• Rateros
•Crackers
• Vándalos
•Criminales
•Espías (gobiernos
foráneos)
• Terroristas
Administración de Riesgos
Seguridad Informática – Vulnerabilidades
Características o debilidades en el sistema de seguridad que
pueden ser explotadas para causar daños o perdidas (facilitan la
ocurrencia de una amenaza)
Hardware
Actos Involuntarios/Accidentales – Intencionales/Voluntarios que
limitan la disponibilidad
Software Datos
Destrucción
Agua, Fuego, Problemas de potencia, Alimentos, Ratones, Cenizas,
Ataques físicos, Bombas
Robo
Administración de Riesgos
Seguridad Informática – Vulnerabilidades
Borrado accidental o destrucción de
programas
Confidencialidad – líneas
derivadas, recipientes de basura,
soborno a empleados claves,
inferencia, preguntando, compra
Hardware
Probabilidad x Impacto
Frecuencia x Impacto
$ Inherente
Nivel de exposición
Residual
Administración de Riesgos
Controles en Seguridad
Controles
Administrativos
Politícas, Estándares,
Procedimientos,
Guías,
Controles Técnicos
Entrenamiento
Acceso lógico,
controles,
encripción,
dispositivos de seguridad, Controles físicos
Identificación y autenticación
Protección de instalaciones,
Guardias, candados,
Monitoreo,
Controles ambientales
Administración de Riesgos
Controles en Seguridad
Medidas protectoras – acciones, dispositivos, procedimientos o
técnicas – que reducen una vulnerabilidad
Conf. Integ. Disp. Interr. Interc. Mod. Fab.
Encripción
Administración de la
Configuración (Control de
Cambios a Programas)
Políticas
Controles de Hardware
Controles Físicos (candados y
guardas)
Valorar prioridades de riesgo
VALORAR Y
PRIORIZAR
RIESGOS SI
Riesgo aceptable? Aceptar
EVALUAR
OPCIONES DE Recomendar estrategias de tratamiento
TRATAMIENTO
Monitorear
Seleccionar estrategia de tratamiento
y Revisar
PREPARAR
PLANES DE Preparar planes de tratamiento para reducir, transferir o
TRATAMIENTO evitar el riesgo, financiando cuando sea apropiado
Transferir Evitar
Reducir Reducir
total o
probabilidad consecuencia
IMPLEMENTAR parcialmente
PLANES DE Porción Porción
TRATAMIENTO retenida transferida
NO SI
Riesgo residual aceptable? Retener
Variables:
Cantidad de involucrados
Esfuerzo de Aseguramiento
Valor del activo
Hardware Duración del Activo
Esfuerzo de detección de incidentes
Impacto en los objetivos del
Software Datos negocio
Efectividad de la medida
Nivel de sofisticación
Facilidad de uso
Bibliografía