Scribd
Cargar
54 vistas20 páginas

Semana 11

El documento aborda la seguridad informática, enfocándose en la definición, objetivos, amenazas y gestión de riesgos asociados a la protección de datos y sistemas de información. Se destacan los roles involucrados en la gestión de riesgos y las opciones de tratamiento, así como la importancia de analizar y evaluar el impacto de amenazas potenciales. Además, se menciona la herramienta PILAR como un procedimiento para el análisis de riesgos en el contexto de la seguridad informática.

Cargado por

luismsaavedras
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPTX, PDF, TXT o lee en línea desde Scribd
54 vistas20 páginas

Semana 11

El documento aborda la seguridad informática, enfocándose en la definición, objetivos, amenazas y gestión de riesgos asociados a la protección de datos y sistemas de información. Se destacan los roles involucrados en la gestión de riesgos y las opciones de tratamiento, así como la importancia de analizar y evaluar el impacto de amenazas potenciales. Además, se menciona la herramienta PILAR como un procedimiento para el análisis de riesgos en el contexto de la seguridad informática.

Cargado por

luismsaavedras
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPTX, PDF, TXT o lee en línea desde Scribd

UNIDAD DIDACTICA

SEGURIDAD INFORMATICA
ANÁLISIS Y GESTIÓN DE RIESGOS

DOCENTE: ING. LUIS MANUEL SAAVEDRA SANDOVAL


SEMANA 11
DEFINICIÓN

Seguridad de las redes y de la información:


La capacidad de las redes o de los sistemas de información de resistir, con un determinado nivel de confianza,
los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad
y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas
ofrecen o hacen accesibles.
Los ordenadores y redes de comunicaciones electrónicas, así como los datos electrónicos almacenados,
procesados, recuperados o transmitidos por los mismos para su operación, uso, protección y mantenimiento.
Los sistemas tienen una o dos misiones: custodiar datos, para que puedan ser utilizados por quien debe cuando
quiera y, prestar servicios
OBJETIVOS DE LA SEGURIDAD

– Mantener la disponibilidad de los datos almacenados, así como su disposición a ser


compartidos, contra la interrupción del servicio
– Mantener la integridad de los datos, contra las manipulaciones
– Mantener la confidencialidad de los datos almacenados, procesados y transmitidos,
contra las filtraciones
– Asegurar la identidad de origen y destino (autenticidad), frente a la suplantación o
engaño
– Ser capaz de perseguir las violaciones y aprender de las experiencias, trazabilidad
AMENAZAS

• Son los eventos que pueden desencadenar un incidente en la organización,


produciendo daños materiales o pérdidas inmateriales
CONSECUENCIAS

– Fallos de confidencialidad: fugas de información: no hay reparación posible, si se


detecta, tenemos la opción de perseguir (disuasorio)
– Fallos de integridad :datos manipulados: si se detecta, tenemos la opción de
recuperar [de otra fuente]
– Fallos de disponibilidad. Interrupción del servicio: medios alternativos, restauración
de los medios habituales
– Autenticidad = integridad [de los meta-datos]
– Trazabilidad = integridad [de los registros de actividad]
TÉRMINOS

– Impacto. evaluación de las consecuencias de una amenaza


– Riesgo. impacto, teniendo en cuenta la probabilidad de la
amenaza
– Análisis. identificación y valoración
– Evaluación como el impacto y el riesgo afectan al negocio
– Gestión. organizarse y actuar
ESTIMACIÓN TABULAR
RIESGO

– Riesgo , el arte de vivir con sistemas razonablemente seguros


– Análisis de impacto, el arte de estimar las consecuencias de una amenaza potencial
– Análisis de riesgos, el arte de estimar las consecuencias recurrentes de la
inseguridad residual
– Análisis de riesgos y análisis de impacto, proporcionan información para tomar
decisiones
– Gestión de riesgos
GESTIÓN DE RIESGOS
MARCO PARA LA GESTIÓN DEL RIESGO
MARCO

– Criterios para evaluar la información y los servicios


• ej. clasificación de la información
• ej. niveles de servicio
– Metodología para analizar los riesgos
• e.g. ISO/IEC 27005:2008
– Criterios para evaluar los riesgos
– Criterios para decidir el tratamiento de los riesgos
ROLES
– Responsable de la información, establece sus requisitos de seguridad
– Responsable del servicio, establece sus requisitos de seguridad
– Analista de riesgos, traslada los requisitos a los medios TIC, selecciona
y evalúa medidas de protección, reporta sobre el riesgo residual
– Propietario del riesgo, evalúa el riesgo en términos de negocio, toma
decisiones de tratamiento del riesgo , es la autoridad responsable de la
gestión del riesgo
GESTIÓN DE RIESGOS

• 1. Analizar
2. Preparar una declaración de aplicabilidad
– Gestionar para cumplimiento, aplicar medidas hasta satisfacer los controles requeridos
– Para seguridad real [estática], aplicar tratamientos hasta que el riesgo es aceptado
– Para seguridad real [dinámica]
3 . analizar qué consecuencias implican los cambios en el sistema, en su entorno, las
vulnerabilidades descubiertas y las intrusiones detectadas
4. reaccionar en consecuencia
OPCIONES DE TRATAMIENTO

– Evitar, eliminar información / servicios / activos


– Mitigar, prevenir / reaccionar / recuperar
– Transferir o compartir, en términos cualitativos
(externalización), en términos cuantitativos (seguros)
– Aceptar, el riesgo es parte del negocio
TOMA DE DECISIONES
ANÁLISIS (POTENCIAL)
ASEGURAR TODOS LOS TIPOS DE ACTIVOS

– La información – Las comunicaciones


– Los procesos – Los soportes de
– Las aplicaciones información
– El sistema operativo – Las instalaciones
– El hardware – El personal
ANÁLISIS (RESIDUAL)
SOPORTE EN HERRAMIENTAS
LA HERRAMIENTA PILAR

– EAR / PILAR
• procedimiento informático-lógico para el análisis del riesgo
• entorno de análisis de riesgos
• proyecto CNI → A.L.H. J. Mañas (2003)
• especificación: CCN
Ministerio de Defensa, España
• comité validación: CCN + MAP + FNMT
• parcialmente financiado por el CCN
comercializado como producto independiente

También podría gustarte