SlideShare a Scribd company logo
1 of 43
Download to read offline
Administración de Riesgos
en Seguridad Informática
Objetivo
Proveer información complementaria para la
aplicación de la Administración de Riesgos en
Ambientes Informáticos
Agenda
 Qué es Administración de Riesgos?
 Proceso de Administración de Riesgos
Qué es Administración de Riesgos?
Herramienta gerencialHerramienta gerencial
que apoya la toma deque apoya la toma de
decisiones organizacionalesdecisiones organizacionales
facilitando con ello elfacilitando con ello el
cumplimiento de loscumplimiento de los
objetivos del negocioobjetivos del negocio
RIESGOSRIESGOS
Proceso iterativoProceso iterativo
basado en elbasado en el
conocimiento,conocimiento,
valoración,valoración,
tratamiento ytratamiento y
monitoreo de losmonitoreo de los
riesgos y sus impactosriesgos y sus impactos
en el negocioen el negocio
Qué es Administración de Riesgos?
Aplicable a cualquierAplicable a cualquier
situación donde unsituación donde un
resultado no deseado oresultado no deseado o
inesperado podría serinesperado podría ser
significativosignificativo en elen el
logro de los objetivoslogro de los objetivos oo
donde se identifiquendonde se identifiquen
oportunidadesoportunidades dede
negocionegocio
UbicaciónUbicación
GeográficaGeográfica
UnidadUnidad
OrganizacionalOrganizacional
Sistema deSistema de
InformaciónInformación
ProyectoProyectoProcesoProceso
OportunidadOportunidad
Qué es Administración de Riesgos?
1. Establecer Marco General
2. Identificar Riesgos
3. Análisis de Riesgos
4. Evaluar y Priorizar Riesgos
5. Tratamiento del Riesgo
Monitorear
y Revisar
Monitorear
y Revisar
Proceso de Administración de Riesgos
1.3. Identificar Criterios de Calificación
1.1. Entender el Entorno
1.2. Entender la Oganización
Administración de Riesgos
1. Establecer Marco General
1.4. Identificar Objetos Críticos1.4. Identificar Objetos Críticos
1.3. Identificar Criterios de Calificación
1.1. Entender el Entorno
1.2. Entender la Oganización
Administración de Riesgos
1. Establecer Marco General
1.4. Identificar Objetos Críticos1.4. Identificar Objetos Críticos
Análisis Externo
Aspectos financieros,
operacionales, competitivos,
políticos (percepción / imagen),
sociales, clientes, culturales y
legales
Stakeholders
Objetivos
Estrategias
1.3. Identificar Criterios de Calificación
1.1. Entender el Entorno
1.2. Entender la Oganización
Administración de Riesgos
1. Establecer Marco General
1.4. Identificar Objetos Críticos1.4. Identificar Objetos Críticos
MetodologíaMetodología
PolíticasPolíticas
Criterios de Calificación y Tablas de ValoraciónCriterios de Calificación y Tablas de Valoración
Universo de Objetos y Objetos Críticos PriorizadosUniverso de Objetos y Objetos Críticos Priorizados
Objeto 1Objeto 1
Objeto 2Objeto 2
Objeto 3Objeto 3
Objeto nObjeto n
Criterio1Criterio1
Criterio2Criterio2
Criterio3Criterio3
Criterio4Criterio4
Criterio5Criterio5
CriterionCriterion
Criterio6Criterio6
Criterio8Criterio8
Criterio7Criterio7
Administración de Riesgos
Qué y Cómo calificar - priorizar?
 Interés de la Dirección
 Procesos – Subprocesos
 Proyectos
 Unidades Orgánicas
 Sistemas - Aplicaciones
 Geográficamente
Lista de Objetos
a los cuáles se les
puede realizar
Administración
de Riesgos
Administración de Riesgos
Qué calificar - Objetos?
Cómo dividir la organización?
Administración de Riesgos
Qué calificar - Objetos?
 Basado en Procesos (Negocio – COBIT)
 Basado en Sistemas
 Basado en Proyectos
 Basado en Infraestructura
Planeación estratégica de sistemas
Desarrollo de sistemas
Evolución o mantenimiento de sistemas
Integración de paquetes de software
Capacitación
Proceso de datos en ambientes de trabajo en batch
Atención a requerimientos de usuarios
Administrar servicios de terceros (incluye outsourcing)
Administración de proyectos
Administración de la infraestructura informática
Dirección y control del área de tecnología de información
Administración de recursos materiales (equipo, tecnología e instalaciones)
Administración de recursos humanos
Administración de recursos financieros
Administración de Riesgos
Qué calificar - Objetos?
 Basado en Procesos (Negocio – COBIT)
 Basado en Sistemas
 Basado en Proyectos
 Basado en Infraestructura
Para un sistema en particular
Programas – Archivos - Procedimientos
Eventos - Entrada – Comunicación – Proceso – Salida - Distribución
Administración de Riesgos
Qué calificar - Objetos?
 Basado en Procesos (Negocio – COBIT)
 Basado en Sistemas
 Basado en Proyectos
 Basado en Infraestructura
A Productos
Análisis al Proceso
Administración de Riesgos
Qué calificar - Objetos?
 Basado en Procesos (Negocio – COBIT)
 Basado en Sistemas
 Basado en Proyectos
 Basado en Infraestructura
Datos Sistemas de Información (Aplicaciones)
Tecnología (Equipos – SW de base y SMBD – SW de Productividad –
Metodologías)
Instalaciones Recursos Humanos
Elementos de Administración
Recursos Financieros Proveedores
Administración de Riesgos
Cómo calificar – Criterios?
• Calidad del Control Interno
• Competencia de la Dirección (entrenamiento, experiencia,
compromiso y juicio)
• Integridad de la Dirección (códigos de ética)
• Cambios recientes en procesos (políticas, sistemas, o
dirección)
• Tamaño de la Unidad (Utilidades, Ingresos, Activos)
• Liquidez de activos
• Cambio en personal clave
• Complejidad de operaciones
• Crecimiento rápido
• Regulación gubernamental
• Condición económica deteriorada de una unidad
• Presión de la Dirección en cumplir objetivos
• Nivel de moral de los empleados
• Exposición política / Publicidad adversa
• Distancia de la oficina principal
De Negocio
IIA
• Exposición financiera
• Pérdida y riesgo potencial
• Requerimientos de la dirección
• Cambios importantes en operaciones,
programas, sistemas y controles
• Oportunidades de alcanzar beneficios
operativos
• Capacidades del persona
• Pérdida financiera
• Pérdida de imagen
• Discontinuidad del negocio
• Incumplimiento de la misión
Confidencialidad
Integridad Disponibilidad
Los activos de un sistema computacional son accedidos solo por personas autorizadas
El tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o aún solo conociendo la
existencia de un objeto
SECRETO, RESERVA, PRIVACIDAD
“SOLO PERSONAS AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS”
Previene la divulgación no autorizada de datos
Administración de Riesgos
Cómo calificar – Criterios Seguridad Informática
Confidencialidad
Integridad Disponibilidad
Administración de Riesgos
Cómo calificar – Criterios Seguridad InformáticaLos activos pueden ser modificados solo por partes
autorizadas o solo en formas autorizadas
La modificación incluye escribir, cambiar, cambiar
estados, borrar y crear
PRECISIÓN, EXACTITUD, NO MODIFICADO,
MODIFICADO SOLO EN FORMAS
ACEPTABLES, MODIFICADO SOLO POR
PERSONAS AUTORIZADAS, MODIFICADO
SOLO POR PROCESOS AUTORIZADOS,
CONSISTENCIA, CONSISTENCIA INTERNA,
SIGNIFICADO Y RESULTADOS CORRECTOS
ACCIONES AUTORIZADAS, SEPARACIÓN Y
PROTECCIÓN DE RECURSOS, Y DETECCIÓN Y
CORRECCIÓN DE ERRORES
“CONTROL RIGUROSO DE QUIEN PUEDE
ACCEDER CUALES RECURSOS EN QUE
FORMAS”
Previene la modificación no autorizada de datos
Confidencialidad
Integridad Disponibilidad
INDEPENDENCIA - TRASLAPO
Los activos son accesibles a partes autorizadas
Aplica a datos y servicios
PRESENCIA DE OBJETOS O SERVICIOS
EN FORMA UTIL, CAPACIDAD PARA
CUMPLIR LAS NECESIDADES DE
SERVICIO, TIEMPO DE ESPERA
LIMITADO, TIEMPO DE SERVICIO
ADECUADO
RESPUESTA OPORTUNA, TOLEREANCIA
A FALLAS, UTILIDAD, CONCURRENCIA
CONTROLADA (Soporte para acceso
simultáneo, administración de concurrencia y
acceso exclusivo)
NEGACIÓN O REPUDIACIÓN DEL
SERVICIO
Previene la negación de acceso autorizado a
datos
Administración de Riesgos
Cómo calificar – Criterios Seguridad Informática
2.1. Establecer el Contexto de Administración de Riesgos
2.2. Desarrollar Criterios de Valoración de Riesgos
2.3. Definir la Estructura
2.4. Identificar riesgos
2.5. Identificar causas
Administración de Riesgos
2. Identificar Riesgos
Hardware
Software Datos
Medios de almacenamiento
Redes
Acceso
Gente clave
Administración de Riesgos
Seguridad Informática - Activos
 Hardware
Servidores, estaciones cliente, dispositivos de comunicación (router, bridge,
hub, gateway, modem), dispositivos periférico, cables, fibras
 Software (o Servicios)
Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones,
herramientas (administrativas, mantenimiento, backup), software bajo desarrollo
 Datos
De la organización: bases de datos, hojas electrónicas, procesamiento de palabra, e-
mail
De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria,
configuración y parámetros de la red
De los usuarios: datos procesados personal, archivos de propiedad del usuario
Administración de Riesgos
Seguridad en Redes – Activos (Componentes)
R1 = Acceso no autorizado a la red o sus recursos
R2 = Divulgación no autorizada de información
R3 = Modificación no autorizada a datos y/o software
R4 = Interrupción de las funciones de la red (no
disponibilidad de datos o servicios)
R4a = incluyendo perdida o degradación de las
comunicaciones
R4b = incluyendo destrucción de equipos y/o datos
R4c = incluyendo negación del servicio
R5 = Acciones engañosas en la red (no saber quien)
Administración de Riesgos
Seguridad en Redes - Riesgos
Information Security Risks
 Physical Damage: Fire, water, power loss, vandalism
 Human Error: Accidental or intentional action
 Equipment malfunction: Failure of system
 Inside and outside attacks: Hacking , cracking
 Misuse of data:Sharing trade secrets
 Loss od data: Intentional or unintentional loss
 Application error: Computation errors, input errors
CausaCausa
Evento primario fundamentoEvento primario fundamento
u orígen de una consecuenciau orígen de una consecuencia
CausaCausa
Evento primario fundamentoEvento primario fundamento
u orígen de una consecuenciau orígen de una consecuencia
RiesgoRiesgo
Concepto usado para expresar incertidumbre sobreConcepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el"consecuencias y/o eventos que podrían llegar a impactar el
logro de los objetivos"logro de los objetivos"
RiesgoRiesgo
Concepto usado para expresar incertidumbre sobreConcepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el"consecuencias y/o eventos que podrían llegar a impactar el
logro de los objetivos"logro de los objetivos"
ConsecuenciaConsecuencia
Resultado de un evento oResultado de un evento o
situación expresadosituación expresado
cualitativa ocualitativa o
cuantitativamentecuantitativamente
ConsecuenciaConsecuencia
Resultado de un evento oResultado de un evento o
situación expresadosituación expresado
cualitativa ocualitativa o
cuantitativamentecuantitativamente
EventoEvento
Situación que podría llegar aSituación que podría llegar a
ocurrir en un lugarocurrir en un lugar
determinado en un momentodeterminado en un momento
dadodado
EventoEvento
Situación que podría llegar aSituación que podría llegar a
ocurrir en un lugarocurrir en un lugar
determinado en un momentodeterminado en un momento
dadodado
Administración de Riesgos
2. Cómo escribir Riesgos?
Causa,Causa,
Evento primarioEvento primario
o Situacióno Situación
Causa,Causa,
Evento primarioEvento primario
o Situacióno Situación
RiesgoRiesgo
Concepto usado para expresar incertidumbre sobreConcepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el"consecuencias y/o eventos que podrían llegar a impactar el
logro de los objetivos"logro de los objetivos"
RiesgoRiesgo
Concepto usado para expresar incertidumbre sobreConcepto usado para expresar incertidumbre sobre
"consecuencias y/o eventos que podrían llegar a impactar el"consecuencias y/o eventos que podrían llegar a impactar el
logro de los objetivos"logro de los objetivos"
Evento,Evento,
AmenazaAmenaza
Evento,Evento,
AmenazaAmenaza
Consecuencia,Consecuencia,
Impacto,Impacto,
ExposiciónExposición
o Resultadoo Resultado
Consecuencia,Consecuencia,
Impacto,Impacto,
ExposiciónExposición
o Resultadoo Resultado
++
Administración de Riesgos
2. Cómo escribir Riesgos?
 Violación de la privacidad
 Demandas legales
 Perdida de tecnología
propietaria
 Multas
 Perdida de vidas humanas
 Desconcierto en la organización
 Perdida de confianza
Administración de Riesgos
Seguridad en redes – Impactos Significativos
 Naturales
 Accidentales
 Deliberadas
Administración de Riesgos
Seguridad Informática - Amenazas
Origen Amenaza directa Impacto inmediato
Terremotos,
tormentas
eléctricas
Fenómenos
astrofísicos
Fenómenos
biológicos
Interrupción de potencia,
temperatura extrema debido
a daños en construcciones,
Perturbaciones
electromagnéticas
Muerte de personal crítico
R4, R4a, R4b
R4, R4a
R4, R4c
Administración de Riesgos
Seguridad Informática – Amenazas Naturales
Origen Amenaza directa Impacto inmediato
Error del Usuario
Error del
Administrador
Fallas de equipos
Borrado de archivos, Formateo de
drive, mal empleo de equipos, errores
de entrada
Configuración inapropiada de
parámetros, borrado de información
Problemas técnicos con servidores de
archivos, servidores de impresión,
dispositivos de comunicación,
estaciones cliente, equipo de soporte
(cintas de back-up, control de acceso,
derrame de café)
R3, R4
R1: R2, R3, R4, R5
R3, R4, R4b
Administración de Riesgos
Seguridad Informática – Amenazas Accidentales
•Amateurs
•Hackers
• Empleados maliciosos
• Rateros
•Crackers
• Vándalos
•Criminales
•Espías (gobiernos
foráneos)
• Terroristas
Administración de Riesgos
Seguridad Informática – Involucrados
Características o debilidades en el sistema de seguridad que
pueden ser explotadas para causar daños o perdidas (facilitan la
ocurrencia de una amenaza)
• Interrupción: un activo se pierde, no está disponible, o no se
puede utilizar
• Intercepción: alguna parte (persona, programa o sistema de
computo) no autorizada accede un activo
• Modificación: una parte no autorizada accede y manipula
indebidamente un activo
• Fabricación: Fabricar e insertar objetos falsos en un sistema
computacional
Administración de Riesgos
Seguridad Informática – Vulnerabilidades
Hardware
Software Datos
Interrupción (Negación del Servicio) Intercepción (Robo)
Actos Involuntarios/Accidentales – Intencionales/Voluntarios que
limitan la disponibilidad
Destrucción
Agua, Fuego, Problemas de potencia, Alimentos, Ratones, Cenizas,
Ataques físicos, Bombas
Robo
Administración de Riesgos
Seguridad Informática – Vulnerabilidades
Hardware
Software Datos
Interrupción (Borrado)
Intercepción
Modificación
Borrado accidental o destrucción de
programas
Robo - Copia ilícita de programas
Causar fallas o errores
Salvar una copia mala de un
programa destruyendo una buena,
Programas modificados (cambio de
bits, de instrucciones – bombas
lógicas, efectos colaterales)
Caballos de Troya, Virus, Puerta
falsa, Fuga de Información
Administración de Riesgos
Seguridad Informática – Vulnerabilidades
Administración de Riesgos
Seguridad Informática – Vulnerabilidades
Hardware
Software Datos
Interrupción (Perdida)
Intercepción
Modificación
Fabricación
Robo
Confidencialidad – líneas
derivadas, recipientes de basura,
soborno a empleados claves,
inferencia, preguntando, compra
Programas maliciosos – Técnica de
salami, utilidades del sistema de
archivos, facilidades de
comunicación defectuosas
Reprocesamiento de datos
utilizados, adicionar registros en
una base de datos
3.1. Valorar Riesgo Inherente
3.2. Determinar Controles Existentes
3.3. Identificar Nivel de Exposición
Administración de Riesgos
3. Analizar Riesgos
Valorar el posible daño que puede ser causado
Administración de Riesgos
Cómo valorar riesgo?
$ Inherente
Nivel de exposición
Residual
Probabilidad x Impacto
Frecuencia x Impacto
Controles
Administrativos
Politícas, Estándares,
Procedimientos,
Guías,
Entrenamiento
Controles Técnicos
Acceso lógico,
controles,
encripción,
dispositivos de seguridad,
Identificación y autenticación
Controles físicos
Protección de instalaciones,
Guardias, candados,
Monitoreo,
Controles ambientales
Administración de Riesgos
Controles en Seguridad
Medidas protectoras – acciones, dispositivos, procedimientos o
técnicas – que reducen una vulnerabilidad
Encripción
Interc.Interr. Fab.Mod.Integ.Conf. Disp.
Administración de la
Configuración (Control de
Cambios a Programas)
Políticas
Controles de Hardware
Controles Físicos (candados y
guardas)
Administración de Riesgos
Controles en Seguridad
Monitorea
r y Revisar
Monitorea
r y Revisar
Valorar prioridades de riesgo
Riesgo aceptable? Aceptar
SI
Considerar factibilidad, costos y beneficios, y niveles de riesgo
EvitarTransferir
total o
parcialmente
Reducir
consecuencia
Reducir
probabilidad
NO
Recomendar estrategias de tratamiento
Seleccionar estrategia de tratamiento
Preparar planes de tratamiento para reducir, transferir o
evitar el riesgo, financiando cuando sea apropiado
EvitarTransferir
total o
parcialmente
Reducir
consecuencia
Reducir
probabilidad
Riesgo residual aceptable? Retener
SINO
VALORAR Y
PRIORIZAR
RIESGOS
IDENTIFICAR
OPCIONES DE
TRATAMIENTO
EVALUAR
OPCIONES DE
TRATAMIENTO
PREPARAR
PLANES DE
TRATAMIENTO
IMPLEMENTAR
PLANES DE
TRATAMIENTO
Riesgo residual no aceptable
Porción
retenida
Porción
transferida
Asegurar la efectividad costo/beneficio de los controles
Hardware
Software Datos
Variables:
Cantidad de involucrados
Esfuerzo de Aseguramiento
Valor del activo
Duración del Activo
Esfuerzo de detección de incidentes
Impacto en los objetivos del
negocio
Efectividad de la medida
Nivel de sofisticación
Facilidad de uso
Principio de la Adecuada Protección: Los ítems deben ser protegidos
solo hasta que ellos pierden su valor y deben ser protegidos de
manera consistente con su valor
Administración de Riesgos
Dónde invertir?
Bibliografía
 Security in Computing – Charles P. Pfleeger –
Prentice Hall
 Network Security - Analysis and Implementation -
January 1996 - MG-1 - http://www.cse.dnd.ca -
Government of Canadá, Communications Security
Establishment (CSE)

More Related Content

What's hot

Mejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad InformaticaMejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad Informaticaguest8b9e6c
 
Webinar Security Scan
Webinar Security ScanWebinar Security Scan
Webinar Security ScanHelpSystems
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementaciónJesvale
 
Auditoria de la_seguridad
Auditoria de la_seguridadAuditoria de la_seguridad
Auditoria de la_seguridadoscar lopez
 
5 problemas del intercambio de archivos mediante scripts
5 problemas del intercambio de archivos mediante scripts5 problemas del intercambio de archivos mediante scripts
5 problemas del intercambio de archivos mediante scriptsHelpSystems
 
Calidad y estandarizacion
Calidad y estandarizacionCalidad y estandarizacion
Calidad y estandarizacionYosel97
 
Centro de Excelencia en Automatización 3
Centro de Excelencia en Automatización 3Centro de Excelencia en Automatización 3
Centro de Excelencia en Automatización 3HelpSystems
 
seguridad basica informática
seguridad basica informáticaseguridad basica informática
seguridad basica informáticaJorge Pfuño
 
Sistemas Informacion Gerencial
Sistemas Informacion GerencialSistemas Informacion Gerencial
Sistemas Informacion Gerencialguestfb90a7
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridadmia
 

What's hot (20)

Mejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad InformaticaMejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad Informatica
 
Webinar Security Scan
Webinar Security ScanWebinar Security Scan
Webinar Security Scan
 
Mft 45 minutos
Mft 45 minutosMft 45 minutos
Mft 45 minutos
 
Newtech brochure
Newtech brochureNewtech brochure
Newtech brochure
 
Seguridad 360
Seguridad 360Seguridad 360
Seguridad 360
 
Adquisición e implementación
Adquisición e implementaciónAdquisición e implementación
Adquisición e implementación
 
S6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en AplicacionesS6-AI-3.2 Auditoría en Aplicaciones
S6-AI-3.2 Auditoría en Aplicaciones
 
Analisis de riesgo informatico
Analisis de riesgo informaticoAnalisis de riesgo informatico
Analisis de riesgo informatico
 
Auditoria de la_seguridad
Auditoria de la_seguridadAuditoria de la_seguridad
Auditoria de la_seguridad
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
 
Medidas de seguridad en los sistemas informaticos
Medidas de seguridad en los sistemas informaticos Medidas de seguridad en los sistemas informaticos
Medidas de seguridad en los sistemas informaticos
 
5 problemas del intercambio de archivos mediante scripts
5 problemas del intercambio de archivos mediante scripts5 problemas del intercambio de archivos mediante scripts
5 problemas del intercambio de archivos mediante scripts
 
ISE Soluciones Estratégicas
ISE Soluciones EstratégicasISE Soluciones Estratégicas
ISE Soluciones Estratégicas
 
Calidad y estandarizacion
Calidad y estandarizacionCalidad y estandarizacion
Calidad y estandarizacion
 
Centro de Excelencia en Automatización 3
Centro de Excelencia en Automatización 3Centro de Excelencia en Automatización 3
Centro de Excelencia en Automatización 3
 
Cobit
CobitCobit
Cobit
 
Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10Curso de CISSP - Parte 1 de 10
Curso de CISSP - Parte 1 de 10
 
seguridad basica informática
seguridad basica informáticaseguridad basica informática
seguridad basica informática
 
Sistemas Informacion Gerencial
Sistemas Informacion GerencialSistemas Informacion Gerencial
Sistemas Informacion Gerencial
 
Analisis tecnico de seguridad
Analisis tecnico de seguridadAnalisis tecnico de seguridad
Analisis tecnico de seguridad
 

Viewers also liked

Le système nerveux william patoine 222
Le système nerveux william patoine 222Le système nerveux william patoine 222
Le système nerveux william patoine 222wilpat0179
 
Examen D\'Histoire 2009
Examen D\'Histoire 2009Examen D\'Histoire 2009
Examen D\'Histoire 2009Giouchki
 
Tu compromiso con la palabra
Tu compromiso con la palabraTu compromiso con la palabra
Tu compromiso con la palabraUnicentro1
 
Fotos Ok Cake Creaciones
Fotos Ok Cake Creaciones Fotos Ok Cake Creaciones
Fotos Ok Cake Creaciones Angelica Plata
 
Bien Démarrer sur Weavlink
Bien Démarrer sur WeavlinkBien Démarrer sur Weavlink
Bien Démarrer sur WeavlinkWeavlink
 
Syllabusinformatica
SyllabusinformaticaSyllabusinformatica
Syllabusinformaticakaterin9620
 
Tarea3segundoquimestre
Tarea3segundoquimestreTarea3segundoquimestre
Tarea3segundoquimestrejoseph119945
 
2do taller tabulacion alejandra (1)
2do taller tabulacion alejandra (1)2do taller tabulacion alejandra (1)
2do taller tabulacion alejandra (1)TatianaBarriga555
 
Contenido 1.1.2 r3z y m
Contenido 1.1.2 r3z y mContenido 1.1.2 r3z y m
Contenido 1.1.2 r3z y mKaty_S16
 
'El Chapo' GuzmA�n: 13 aA�os de la fuga del mayor narco mexicano - Nacional
'El Chapo' GuzmA�n: 13 aA�os de la fuga del mayor narco mexicano - Nacional'El Chapo' GuzmA�n: 13 aA�os de la fuga del mayor narco mexicano - Nacional
'El Chapo' GuzmA�n: 13 aA�os de la fuga del mayor narco mexicano - Nacionaloddweakness783
 
Concepts methodes
Concepts methodesConcepts methodes
Concepts methodesmsk10
 
InFocus lance l'IN5510
InFocus lance l'IN5510InFocus lance l'IN5510
InFocus lance l'IN5510InstiCOM
 
Coffret SéJour Hotel
Coffret SéJour HotelCoffret SéJour Hotel
Coffret SéJour HotelHappybox
 
Los materiales y las Energias en la Informatica.
Los materiales y las Energias en la Informatica.Los materiales y las Energias en la Informatica.
Los materiales y las Energias en la Informatica.josbelin46
 

Viewers also liked (20)

Trabajo individual ardora
Trabajo individual ardoraTrabajo individual ardora
Trabajo individual ardora
 
Le système nerveux william patoine 222
Le système nerveux william patoine 222Le système nerveux william patoine 222
Le système nerveux william patoine 222
 
Examen D\'Histoire 2009
Examen D\'Histoire 2009Examen D\'Histoire 2009
Examen D\'Histoire 2009
 
Tu compromiso con la palabra
Tu compromiso con la palabraTu compromiso con la palabra
Tu compromiso con la palabra
 
Fotos Ok Cake Creaciones
Fotos Ok Cake Creaciones Fotos Ok Cake Creaciones
Fotos Ok Cake Creaciones
 
RichAnalysis
RichAnalysisRichAnalysis
RichAnalysis
 
Présentation IMVL
Présentation IMVLPrésentation IMVL
Présentation IMVL
 
Bien Démarrer sur Weavlink
Bien Démarrer sur WeavlinkBien Démarrer sur Weavlink
Bien Démarrer sur Weavlink
 
Syllabusinformatica
SyllabusinformaticaSyllabusinformatica
Syllabusinformatica
 
Tarea3segundoquimestre
Tarea3segundoquimestreTarea3segundoquimestre
Tarea3segundoquimestre
 
2do taller tabulacion alejandra (1)
2do taller tabulacion alejandra (1)2do taller tabulacion alejandra (1)
2do taller tabulacion alejandra (1)
 
Contenido 1.1.2 r3z y m
Contenido 1.1.2 r3z y mContenido 1.1.2 r3z y m
Contenido 1.1.2 r3z y m
 
'El Chapo' GuzmA�n: 13 aA�os de la fuga del mayor narco mexicano - Nacional
'El Chapo' GuzmA�n: 13 aA�os de la fuga del mayor narco mexicano - Nacional'El Chapo' GuzmA�n: 13 aA�os de la fuga del mayor narco mexicano - Nacional
'El Chapo' GuzmA�n: 13 aA�os de la fuga del mayor narco mexicano - Nacional
 
Concepts methodes
Concepts methodesConcepts methodes
Concepts methodes
 
InFocus lance l'IN5510
InFocus lance l'IN5510InFocus lance l'IN5510
InFocus lance l'IN5510
 
Coffret SéJour Hotel
Coffret SéJour HotelCoffret SéJour Hotel
Coffret SéJour Hotel
 
Energee Colombia
Energee ColombiaEnergee Colombia
Energee Colombia
 
Los materiales y las Energias en la Informatica.
Los materiales y las Energias en la Informatica.Los materiales y las Energias en la Informatica.
Los materiales y las Energias en la Informatica.
 
un afiche
 un afiche un afiche
un afiche
 
Robots
RobotsRobots
Robots
 

Similar to Administracion

Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Edna Lasso
 
1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacion1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacioncmardones
 
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Symantec LATAM
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informáticoJuan Moreno
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Saeta de Dios
 
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACION
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACIONLISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACION
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACIONsistemas6si
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 

Similar to Administracion (20)

Administracion de riesgos
Administracion de riesgosAdministracion de riesgos
Administracion de riesgos
 
Auditoría de sistemas clase 2
Auditoría de sistemas clase 2Auditoría de sistemas clase 2
Auditoría de sistemas clase 2
 
Auditoría informatica.
Auditoría informatica.Auditoría informatica.
Auditoría informatica.
 
1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacion1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacion
 
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
Be Aware Webinar - Alineando su estrategia de seguridad visibilidad_y_cumplim...
 
Taller extra 3
Taller extra 3Taller extra 3
Taller extra 3
 
Taller extra 3
Taller extra 3Taller extra 3
Taller extra 3
 
Taller 3
Taller 3Taller 3
Taller 3
 
Taller 3
Taller 3Taller 3
Taller 3
 
Taller extra 3
Taller extra 3Taller extra 3
Taller extra 3
 
Control interno informático
Control interno informáticoControl interno informático
Control interno informático
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]
 
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACION
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACIONLISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACION
LISTO ORGANIZACION DE LOS SISTEMAS DE INFORMACION
 
Taller extra 3
Taller extra 3Taller extra 3
Taller extra 3
 
S3-AI-2.1. Estándares
S3-AI-2.1. EstándaresS3-AI-2.1. Estándares
S3-AI-2.1. Estándares
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Centro de computo alex
Centro de computo alexCentro de computo alex
Centro de computo alex
 
Centro de computo
Centro de computoCentro de computo
Centro de computo
 
clse segurida9.ppt
clse segurida9.pptclse segurida9.ppt
clse segurida9.ppt
 

Recently uploaded

Semana Santa en Popayán para el año 2024
Semana Santa en Popayán para el año 2024Semana Santa en Popayán para el año 2024
Semana Santa en Popayán para el año 2024yaco173
 
EL ECLIPSE DE LA PAZ (cuento literario). Autor y diseñador JAVIER SOLIS NOYOLA
EL ECLIPSE DE LA PAZ (cuento literario). Autor y diseñador JAVIER SOLIS NOYOLAEL ECLIPSE DE LA PAZ (cuento literario). Autor y diseñador JAVIER SOLIS NOYOLA
EL ECLIPSE DE LA PAZ (cuento literario). Autor y diseñador JAVIER SOLIS NOYOLAJAVIER SOLIS NOYOLA
 
Programación Anual 2024 - CIENCIAS SOCIALES.docx
Programación Anual 2024  - CIENCIAS SOCIALES.docxProgramación Anual 2024  - CIENCIAS SOCIALES.docx
Programación Anual 2024 - CIENCIAS SOCIALES.docxJhordanBenitesSanche1
 
Evaluacion Diagnostica Matematica 5to C2 Secundaria Ccesa007.pdf
Evaluacion Diagnostica Matematica 5to  C2 Secundaria Ccesa007.pdfEvaluacion Diagnostica Matematica 5to  C2 Secundaria Ccesa007.pdf
Evaluacion Diagnostica Matematica 5to C2 Secundaria Ccesa007.pdfDemetrio Ccesa Rayme
 
COMO SI EL RUIDO PUDIERA MOLESTAR 4TO SECUENCIA.docx
COMO SI EL RUIDO PUDIERA MOLESTAR 4TO SECUENCIA.docxCOMO SI EL RUIDO PUDIERA MOLESTAR 4TO SECUENCIA.docx
COMO SI EL RUIDO PUDIERA MOLESTAR 4TO SECUENCIA.docxAngeles Feu
 
Herbert James Drape. Erotismo y sensualidad.pptx
Herbert James Drape. Erotismo y sensualidad.pptxHerbert James Drape. Erotismo y sensualidad.pptx
Herbert James Drape. Erotismo y sensualidad.pptxArs Erótica
 
La Gatera de la Villa nº 51. Revista cultural sobre Madrid..
La Gatera de la Villa nº 51. Revista cultural sobre Madrid..La Gatera de la Villa nº 51. Revista cultural sobre Madrid..
La Gatera de la Villa nº 51. Revista cultural sobre Madrid..La Gatera de la Villa
 
Concurso de Innovación Pedagógica T3 FONDEP 2024 Ccesa007.pdf
Concurso de Innovación Pedagógica  T3  FONDEP 2024 Ccesa007.pdfConcurso de Innovación Pedagógica  T3  FONDEP 2024 Ccesa007.pdf
Concurso de Innovación Pedagógica T3 FONDEP 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
PROGRAMACIÓN CURRICULAR ANUAL DE CIENCIA Y TECNOLOGÍA
PROGRAMACIÓN CURRICULAR ANUAL DE CIENCIA Y TECNOLOGÍAPROGRAMACIÓN CURRICULAR ANUAL DE CIENCIA Y TECNOLOGÍA
PROGRAMACIÓN CURRICULAR ANUAL DE CIENCIA Y TECNOLOGÍAJoaqunSolrzano
 
La Congregación de Jesús y María, conocida también como los Eudistas, fue fun...
La Congregación de Jesús y María, conocida también como los Eudistas, fue fun...La Congregación de Jesús y María, conocida también como los Eudistas, fue fun...
La Congregación de Jesús y María, conocida también como los Eudistas, fue fun...Unidad de Espiritualidad Eudista
 
CIENCIAS SOCIALES SEGUNDO TRIMESTRE CUARTO
CIENCIAS SOCIALES SEGUNDO TRIMESTRE CUARTOCIENCIAS SOCIALES SEGUNDO TRIMESTRE CUARTO
CIENCIAS SOCIALES SEGUNDO TRIMESTRE CUARTOCEIP TIERRA DE PINARES
 
Evaluacion Diagnostica Matematica 2do C1 Secundaria Ccesa007.pdf
Evaluacion Diagnostica Matematica 2do C1 Secundaria Ccesa007.pdfEvaluacion Diagnostica Matematica 2do C1 Secundaria Ccesa007.pdf
Evaluacion Diagnostica Matematica 2do C1 Secundaria Ccesa007.pdfDemetrio Ccesa Rayme
 
Tarea 2 - Sociologia de la organizacion-1.docx
Tarea 2 - Sociologia de la organizacion-1.docxTarea 2 - Sociologia de la organizacion-1.docx
Tarea 2 - Sociologia de la organizacion-1.docxmiguelramosvse
 
GUÍA SIANET - Agenda - Tareas - Archivos - Participaciones - Notas.pdf
GUÍA SIANET - Agenda - Tareas - Archivos - Participaciones - Notas.pdfGUÍA SIANET - Agenda - Tareas - Archivos - Participaciones - Notas.pdf
GUÍA SIANET - Agenda - Tareas - Archivos - Participaciones - Notas.pdfNELLYKATTY
 
21 MARZO DIA INTERNACIONAL DOS BOSQUES.pdf
21 MARZO DIA INTERNACIONAL DOS BOSQUES.pdf21 MARZO DIA INTERNACIONAL DOS BOSQUES.pdf
21 MARZO DIA INTERNACIONAL DOS BOSQUES.pdfceeabarcia
 
La poesía del encarcelamiento de Raúl Zurita en el aula: una propuesta didáctica
La poesía del encarcelamiento de Raúl Zurita en el aula: una propuesta didácticaLa poesía del encarcelamiento de Raúl Zurita en el aula: una propuesta didáctica
La poesía del encarcelamiento de Raúl Zurita en el aula: una propuesta didácticaIGNACIO BALLESTER PARDO
 
plan espacios inspiradores para nivel primaria
plan espacios inspiradores para nivel primariaplan espacios inspiradores para nivel primaria
plan espacios inspiradores para nivel primariaElizabeth252489
 

Recently uploaded (20)

Semana Santa en Popayán para el año 2024
Semana Santa en Popayán para el año 2024Semana Santa en Popayán para el año 2024
Semana Santa en Popayán para el año 2024
 
EL ECLIPSE DE LA PAZ (cuento literario). Autor y diseñador JAVIER SOLIS NOYOLA
EL ECLIPSE DE LA PAZ (cuento literario). Autor y diseñador JAVIER SOLIS NOYOLAEL ECLIPSE DE LA PAZ (cuento literario). Autor y diseñador JAVIER SOLIS NOYOLA
EL ECLIPSE DE LA PAZ (cuento literario). Autor y diseñador JAVIER SOLIS NOYOLA
 
Programación Anual 2024 - CIENCIAS SOCIALES.docx
Programación Anual 2024  - CIENCIAS SOCIALES.docxProgramación Anual 2024  - CIENCIAS SOCIALES.docx
Programación Anual 2024 - CIENCIAS SOCIALES.docx
 
Evaluacion Diagnostica Matematica 5to C2 Secundaria Ccesa007.pdf
Evaluacion Diagnostica Matematica 5to  C2 Secundaria Ccesa007.pdfEvaluacion Diagnostica Matematica 5to  C2 Secundaria Ccesa007.pdf
Evaluacion Diagnostica Matematica 5to C2 Secundaria Ccesa007.pdf
 
EL PROCESO DE INVESTIGACIÓN CUALITATIVA. ENFERMERÍA
EL PROCESO DE INVESTIGACIÓN CUALITATIVA. ENFERMERÍAEL PROCESO DE INVESTIGACIÓN CUALITATIVA. ENFERMERÍA
EL PROCESO DE INVESTIGACIÓN CUALITATIVA. ENFERMERÍA
 
COMO SI EL RUIDO PUDIERA MOLESTAR 4TO SECUENCIA.docx
COMO SI EL RUIDO PUDIERA MOLESTAR 4TO SECUENCIA.docxCOMO SI EL RUIDO PUDIERA MOLESTAR 4TO SECUENCIA.docx
COMO SI EL RUIDO PUDIERA MOLESTAR 4TO SECUENCIA.docx
 
Power Point E. Sab: Adoración sin fin...
Power Point E. Sab: Adoración sin fin...Power Point E. Sab: Adoración sin fin...
Power Point E. Sab: Adoración sin fin...
 
Herbert James Drape. Erotismo y sensualidad.pptx
Herbert James Drape. Erotismo y sensualidad.pptxHerbert James Drape. Erotismo y sensualidad.pptx
Herbert James Drape. Erotismo y sensualidad.pptx
 
SITUACIÓN ACTUAL DE LA INVESTIGACIÓN. ENFERMERÍA
SITUACIÓN ACTUAL DE LA INVESTIGACIÓN. ENFERMERÍASITUACIÓN ACTUAL DE LA INVESTIGACIÓN. ENFERMERÍA
SITUACIÓN ACTUAL DE LA INVESTIGACIÓN. ENFERMERÍA
 
La Gatera de la Villa nº 51. Revista cultural sobre Madrid..
La Gatera de la Villa nº 51. Revista cultural sobre Madrid..La Gatera de la Villa nº 51. Revista cultural sobre Madrid..
La Gatera de la Villa nº 51. Revista cultural sobre Madrid..
 
Concurso de Innovación Pedagógica T3 FONDEP 2024 Ccesa007.pdf
Concurso de Innovación Pedagógica  T3  FONDEP 2024 Ccesa007.pdfConcurso de Innovación Pedagógica  T3  FONDEP 2024 Ccesa007.pdf
Concurso de Innovación Pedagógica T3 FONDEP 2024 Ccesa007.pdf
 
PROGRAMACIÓN CURRICULAR ANUAL DE CIENCIA Y TECNOLOGÍA
PROGRAMACIÓN CURRICULAR ANUAL DE CIENCIA Y TECNOLOGÍAPROGRAMACIÓN CURRICULAR ANUAL DE CIENCIA Y TECNOLOGÍA
PROGRAMACIÓN CURRICULAR ANUAL DE CIENCIA Y TECNOLOGÍA
 
La Congregación de Jesús y María, conocida también como los Eudistas, fue fun...
La Congregación de Jesús y María, conocida también como los Eudistas, fue fun...La Congregación de Jesús y María, conocida también como los Eudistas, fue fun...
La Congregación de Jesús y María, conocida también como los Eudistas, fue fun...
 
CIENCIAS SOCIALES SEGUNDO TRIMESTRE CUARTO
CIENCIAS SOCIALES SEGUNDO TRIMESTRE CUARTOCIENCIAS SOCIALES SEGUNDO TRIMESTRE CUARTO
CIENCIAS SOCIALES SEGUNDO TRIMESTRE CUARTO
 
Evaluacion Diagnostica Matematica 2do C1 Secundaria Ccesa007.pdf
Evaluacion Diagnostica Matematica 2do C1 Secundaria Ccesa007.pdfEvaluacion Diagnostica Matematica 2do C1 Secundaria Ccesa007.pdf
Evaluacion Diagnostica Matematica 2do C1 Secundaria Ccesa007.pdf
 
Tarea 2 - Sociologia de la organizacion-1.docx
Tarea 2 - Sociologia de la organizacion-1.docxTarea 2 - Sociologia de la organizacion-1.docx
Tarea 2 - Sociologia de la organizacion-1.docx
 
GUÍA SIANET - Agenda - Tareas - Archivos - Participaciones - Notas.pdf
GUÍA SIANET - Agenda - Tareas - Archivos - Participaciones - Notas.pdfGUÍA SIANET - Agenda - Tareas - Archivos - Participaciones - Notas.pdf
GUÍA SIANET - Agenda - Tareas - Archivos - Participaciones - Notas.pdf
 
21 MARZO DIA INTERNACIONAL DOS BOSQUES.pdf
21 MARZO DIA INTERNACIONAL DOS BOSQUES.pdf21 MARZO DIA INTERNACIONAL DOS BOSQUES.pdf
21 MARZO DIA INTERNACIONAL DOS BOSQUES.pdf
 
La poesía del encarcelamiento de Raúl Zurita en el aula: una propuesta didáctica
La poesía del encarcelamiento de Raúl Zurita en el aula: una propuesta didácticaLa poesía del encarcelamiento de Raúl Zurita en el aula: una propuesta didáctica
La poesía del encarcelamiento de Raúl Zurita en el aula: una propuesta didáctica
 
plan espacios inspiradores para nivel primaria
plan espacios inspiradores para nivel primariaplan espacios inspiradores para nivel primaria
plan espacios inspiradores para nivel primaria
 

Administracion

  • 1. Administración de Riesgos en Seguridad Informática
  • 2. Objetivo Proveer información complementaria para la aplicación de la Administración de Riesgos en Ambientes Informáticos
  • 3. Agenda  Qué es Administración de Riesgos?  Proceso de Administración de Riesgos
  • 4. Qué es Administración de Riesgos? Herramienta gerencialHerramienta gerencial que apoya la toma deque apoya la toma de decisiones organizacionalesdecisiones organizacionales facilitando con ello elfacilitando con ello el cumplimiento de loscumplimiento de los objetivos del negocioobjetivos del negocio
  • 5. RIESGOSRIESGOS Proceso iterativoProceso iterativo basado en elbasado en el conocimiento,conocimiento, valoración,valoración, tratamiento ytratamiento y monitoreo de losmonitoreo de los riesgos y sus impactosriesgos y sus impactos en el negocioen el negocio Qué es Administración de Riesgos?
  • 6. Aplicable a cualquierAplicable a cualquier situación donde unsituación donde un resultado no deseado oresultado no deseado o inesperado podría serinesperado podría ser significativosignificativo en elen el logro de los objetivoslogro de los objetivos oo donde se identifiquendonde se identifiquen oportunidadesoportunidades dede negocionegocio UbicaciónUbicación GeográficaGeográfica UnidadUnidad OrganizacionalOrganizacional Sistema deSistema de InformaciónInformación ProyectoProyectoProcesoProceso OportunidadOportunidad Qué es Administración de Riesgos?
  • 7. 1. Establecer Marco General 2. Identificar Riesgos 3. Análisis de Riesgos 4. Evaluar y Priorizar Riesgos 5. Tratamiento del Riesgo Monitorear y Revisar Monitorear y Revisar Proceso de Administración de Riesgos
  • 8. 1.3. Identificar Criterios de Calificación 1.1. Entender el Entorno 1.2. Entender la Oganización Administración de Riesgos 1. Establecer Marco General 1.4. Identificar Objetos Críticos1.4. Identificar Objetos Críticos
  • 9. 1.3. Identificar Criterios de Calificación 1.1. Entender el Entorno 1.2. Entender la Oganización Administración de Riesgos 1. Establecer Marco General 1.4. Identificar Objetos Críticos1.4. Identificar Objetos Críticos Análisis Externo Aspectos financieros, operacionales, competitivos, políticos (percepción / imagen), sociales, clientes, culturales y legales Stakeholders Objetivos Estrategias
  • 10. 1.3. Identificar Criterios de Calificación 1.1. Entender el Entorno 1.2. Entender la Oganización Administración de Riesgos 1. Establecer Marco General 1.4. Identificar Objetos Críticos1.4. Identificar Objetos Críticos MetodologíaMetodología PolíticasPolíticas Criterios de Calificación y Tablas de ValoraciónCriterios de Calificación y Tablas de Valoración Universo de Objetos y Objetos Críticos PriorizadosUniverso de Objetos y Objetos Críticos Priorizados
  • 11. Objeto 1Objeto 1 Objeto 2Objeto 2 Objeto 3Objeto 3 Objeto nObjeto n Criterio1Criterio1 Criterio2Criterio2 Criterio3Criterio3 Criterio4Criterio4 Criterio5Criterio5 CriterionCriterion Criterio6Criterio6 Criterio8Criterio8 Criterio7Criterio7 Administración de Riesgos Qué y Cómo calificar - priorizar?
  • 12.  Interés de la Dirección  Procesos – Subprocesos  Proyectos  Unidades Orgánicas  Sistemas - Aplicaciones  Geográficamente Lista de Objetos a los cuáles se les puede realizar Administración de Riesgos Administración de Riesgos Qué calificar - Objetos? Cómo dividir la organización?
  • 13. Administración de Riesgos Qué calificar - Objetos?  Basado en Procesos (Negocio – COBIT)  Basado en Sistemas  Basado en Proyectos  Basado en Infraestructura Planeación estratégica de sistemas Desarrollo de sistemas Evolución o mantenimiento de sistemas Integración de paquetes de software Capacitación Proceso de datos en ambientes de trabajo en batch Atención a requerimientos de usuarios Administrar servicios de terceros (incluye outsourcing) Administración de proyectos Administración de la infraestructura informática Dirección y control del área de tecnología de información Administración de recursos materiales (equipo, tecnología e instalaciones) Administración de recursos humanos Administración de recursos financieros
  • 14. Administración de Riesgos Qué calificar - Objetos?  Basado en Procesos (Negocio – COBIT)  Basado en Sistemas  Basado en Proyectos  Basado en Infraestructura Para un sistema en particular Programas – Archivos - Procedimientos Eventos - Entrada – Comunicación – Proceso – Salida - Distribución
  • 15. Administración de Riesgos Qué calificar - Objetos?  Basado en Procesos (Negocio – COBIT)  Basado en Sistemas  Basado en Proyectos  Basado en Infraestructura A Productos Análisis al Proceso
  • 16. Administración de Riesgos Qué calificar - Objetos?  Basado en Procesos (Negocio – COBIT)  Basado en Sistemas  Basado en Proyectos  Basado en Infraestructura Datos Sistemas de Información (Aplicaciones) Tecnología (Equipos – SW de base y SMBD – SW de Productividad – Metodologías) Instalaciones Recursos Humanos Elementos de Administración Recursos Financieros Proveedores
  • 17. Administración de Riesgos Cómo calificar – Criterios? • Calidad del Control Interno • Competencia de la Dirección (entrenamiento, experiencia, compromiso y juicio) • Integridad de la Dirección (códigos de ética) • Cambios recientes en procesos (políticas, sistemas, o dirección) • Tamaño de la Unidad (Utilidades, Ingresos, Activos) • Liquidez de activos • Cambio en personal clave • Complejidad de operaciones • Crecimiento rápido • Regulación gubernamental • Condición económica deteriorada de una unidad • Presión de la Dirección en cumplir objetivos • Nivel de moral de los empleados • Exposición política / Publicidad adversa • Distancia de la oficina principal De Negocio IIA • Exposición financiera • Pérdida y riesgo potencial • Requerimientos de la dirección • Cambios importantes en operaciones, programas, sistemas y controles • Oportunidades de alcanzar beneficios operativos • Capacidades del persona • Pérdida financiera • Pérdida de imagen • Discontinuidad del negocio • Incumplimiento de la misión
  • 18. Confidencialidad Integridad Disponibilidad Los activos de un sistema computacional son accedidos solo por personas autorizadas El tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o aún solo conociendo la existencia de un objeto SECRETO, RESERVA, PRIVACIDAD “SOLO PERSONAS AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS” Previene la divulgación no autorizada de datos Administración de Riesgos Cómo calificar – Criterios Seguridad Informática
  • 19. Confidencialidad Integridad Disponibilidad Administración de Riesgos Cómo calificar – Criterios Seguridad InformáticaLos activos pueden ser modificados solo por partes autorizadas o solo en formas autorizadas La modificación incluye escribir, cambiar, cambiar estados, borrar y crear PRECISIÓN, EXACTITUD, NO MODIFICADO, MODIFICADO SOLO EN FORMAS ACEPTABLES, MODIFICADO SOLO POR PERSONAS AUTORIZADAS, MODIFICADO SOLO POR PROCESOS AUTORIZADOS, CONSISTENCIA, CONSISTENCIA INTERNA, SIGNIFICADO Y RESULTADOS CORRECTOS ACCIONES AUTORIZADAS, SEPARACIÓN Y PROTECCIÓN DE RECURSOS, Y DETECCIÓN Y CORRECCIÓN DE ERRORES “CONTROL RIGUROSO DE QUIEN PUEDE ACCEDER CUALES RECURSOS EN QUE FORMAS” Previene la modificación no autorizada de datos
  • 20. Confidencialidad Integridad Disponibilidad INDEPENDENCIA - TRASLAPO Los activos son accesibles a partes autorizadas Aplica a datos y servicios PRESENCIA DE OBJETOS O SERVICIOS EN FORMA UTIL, CAPACIDAD PARA CUMPLIR LAS NECESIDADES DE SERVICIO, TIEMPO DE ESPERA LIMITADO, TIEMPO DE SERVICIO ADECUADO RESPUESTA OPORTUNA, TOLEREANCIA A FALLAS, UTILIDAD, CONCURRENCIA CONTROLADA (Soporte para acceso simultáneo, administración de concurrencia y acceso exclusivo) NEGACIÓN O REPUDIACIÓN DEL SERVICIO Previene la negación de acceso autorizado a datos Administración de Riesgos Cómo calificar – Criterios Seguridad Informática
  • 21. 2.1. Establecer el Contexto de Administración de Riesgos 2.2. Desarrollar Criterios de Valoración de Riesgos 2.3. Definir la Estructura 2.4. Identificar riesgos 2.5. Identificar causas Administración de Riesgos 2. Identificar Riesgos
  • 22. Hardware Software Datos Medios de almacenamiento Redes Acceso Gente clave Administración de Riesgos Seguridad Informática - Activos
  • 23.  Hardware Servidores, estaciones cliente, dispositivos de comunicación (router, bridge, hub, gateway, modem), dispositivos periférico, cables, fibras  Software (o Servicios) Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones, herramientas (administrativas, mantenimiento, backup), software bajo desarrollo  Datos De la organización: bases de datos, hojas electrónicas, procesamiento de palabra, e- mail De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria, configuración y parámetros de la red De los usuarios: datos procesados personal, archivos de propiedad del usuario Administración de Riesgos Seguridad en Redes – Activos (Componentes)
  • 24. R1 = Acceso no autorizado a la red o sus recursos R2 = Divulgación no autorizada de información R3 = Modificación no autorizada a datos y/o software R4 = Interrupción de las funciones de la red (no disponibilidad de datos o servicios) R4a = incluyendo perdida o degradación de las comunicaciones R4b = incluyendo destrucción de equipos y/o datos R4c = incluyendo negación del servicio R5 = Acciones engañosas en la red (no saber quien) Administración de Riesgos Seguridad en Redes - Riesgos
  • 25. Information Security Risks  Physical Damage: Fire, water, power loss, vandalism  Human Error: Accidental or intentional action  Equipment malfunction: Failure of system  Inside and outside attacks: Hacking , cracking  Misuse of data:Sharing trade secrets  Loss od data: Intentional or unintentional loss  Application error: Computation errors, input errors
  • 26. CausaCausa Evento primario fundamentoEvento primario fundamento u orígen de una consecuenciau orígen de una consecuencia CausaCausa Evento primario fundamentoEvento primario fundamento u orígen de una consecuenciau orígen de una consecuencia RiesgoRiesgo Concepto usado para expresar incertidumbre sobreConcepto usado para expresar incertidumbre sobre "consecuencias y/o eventos que podrían llegar a impactar el"consecuencias y/o eventos que podrían llegar a impactar el logro de los objetivos"logro de los objetivos" RiesgoRiesgo Concepto usado para expresar incertidumbre sobreConcepto usado para expresar incertidumbre sobre "consecuencias y/o eventos que podrían llegar a impactar el"consecuencias y/o eventos que podrían llegar a impactar el logro de los objetivos"logro de los objetivos" ConsecuenciaConsecuencia Resultado de un evento oResultado de un evento o situación expresadosituación expresado cualitativa ocualitativa o cuantitativamentecuantitativamente ConsecuenciaConsecuencia Resultado de un evento oResultado de un evento o situación expresadosituación expresado cualitativa ocualitativa o cuantitativamentecuantitativamente EventoEvento Situación que podría llegar aSituación que podría llegar a ocurrir en un lugarocurrir en un lugar determinado en un momentodeterminado en un momento dadodado EventoEvento Situación que podría llegar aSituación que podría llegar a ocurrir en un lugarocurrir en un lugar determinado en un momentodeterminado en un momento dadodado Administración de Riesgos 2. Cómo escribir Riesgos?
  • 27. Causa,Causa, Evento primarioEvento primario o Situacióno Situación Causa,Causa, Evento primarioEvento primario o Situacióno Situación RiesgoRiesgo Concepto usado para expresar incertidumbre sobreConcepto usado para expresar incertidumbre sobre "consecuencias y/o eventos que podrían llegar a impactar el"consecuencias y/o eventos que podrían llegar a impactar el logro de los objetivos"logro de los objetivos" RiesgoRiesgo Concepto usado para expresar incertidumbre sobreConcepto usado para expresar incertidumbre sobre "consecuencias y/o eventos que podrían llegar a impactar el"consecuencias y/o eventos que podrían llegar a impactar el logro de los objetivos"logro de los objetivos" Evento,Evento, AmenazaAmenaza Evento,Evento, AmenazaAmenaza Consecuencia,Consecuencia, Impacto,Impacto, ExposiciónExposición o Resultadoo Resultado Consecuencia,Consecuencia, Impacto,Impacto, ExposiciónExposición o Resultadoo Resultado ++ Administración de Riesgos 2. Cómo escribir Riesgos?
  • 28.  Violación de la privacidad  Demandas legales  Perdida de tecnología propietaria  Multas  Perdida de vidas humanas  Desconcierto en la organización  Perdida de confianza Administración de Riesgos Seguridad en redes – Impactos Significativos
  • 29.  Naturales  Accidentales  Deliberadas Administración de Riesgos Seguridad Informática - Amenazas
  • 30. Origen Amenaza directa Impacto inmediato Terremotos, tormentas eléctricas Fenómenos astrofísicos Fenómenos biológicos Interrupción de potencia, temperatura extrema debido a daños en construcciones, Perturbaciones electromagnéticas Muerte de personal crítico R4, R4a, R4b R4, R4a R4, R4c Administración de Riesgos Seguridad Informática – Amenazas Naturales
  • 31. Origen Amenaza directa Impacto inmediato Error del Usuario Error del Administrador Fallas de equipos Borrado de archivos, Formateo de drive, mal empleo de equipos, errores de entrada Configuración inapropiada de parámetros, borrado de información Problemas técnicos con servidores de archivos, servidores de impresión, dispositivos de comunicación, estaciones cliente, equipo de soporte (cintas de back-up, control de acceso, derrame de café) R3, R4 R1: R2, R3, R4, R5 R3, R4, R4b Administración de Riesgos Seguridad Informática – Amenazas Accidentales
  • 32. •Amateurs •Hackers • Empleados maliciosos • Rateros •Crackers • Vándalos •Criminales •Espías (gobiernos foráneos) • Terroristas Administración de Riesgos Seguridad Informática – Involucrados
  • 33. Características o debilidades en el sistema de seguridad que pueden ser explotadas para causar daños o perdidas (facilitan la ocurrencia de una amenaza) • Interrupción: un activo se pierde, no está disponible, o no se puede utilizar • Intercepción: alguna parte (persona, programa o sistema de computo) no autorizada accede un activo • Modificación: una parte no autorizada accede y manipula indebidamente un activo • Fabricación: Fabricar e insertar objetos falsos en un sistema computacional Administración de Riesgos Seguridad Informática – Vulnerabilidades
  • 34. Hardware Software Datos Interrupción (Negación del Servicio) Intercepción (Robo) Actos Involuntarios/Accidentales – Intencionales/Voluntarios que limitan la disponibilidad Destrucción Agua, Fuego, Problemas de potencia, Alimentos, Ratones, Cenizas, Ataques físicos, Bombas Robo Administración de Riesgos Seguridad Informática – Vulnerabilidades
  • 35. Hardware Software Datos Interrupción (Borrado) Intercepción Modificación Borrado accidental o destrucción de programas Robo - Copia ilícita de programas Causar fallas o errores Salvar una copia mala de un programa destruyendo una buena, Programas modificados (cambio de bits, de instrucciones – bombas lógicas, efectos colaterales) Caballos de Troya, Virus, Puerta falsa, Fuga de Información Administración de Riesgos Seguridad Informática – Vulnerabilidades
  • 36. Administración de Riesgos Seguridad Informática – Vulnerabilidades Hardware Software Datos Interrupción (Perdida) Intercepción Modificación Fabricación Robo Confidencialidad – líneas derivadas, recipientes de basura, soborno a empleados claves, inferencia, preguntando, compra Programas maliciosos – Técnica de salami, utilidades del sistema de archivos, facilidades de comunicación defectuosas Reprocesamiento de datos utilizados, adicionar registros en una base de datos
  • 37. 3.1. Valorar Riesgo Inherente 3.2. Determinar Controles Existentes 3.3. Identificar Nivel de Exposición Administración de Riesgos 3. Analizar Riesgos Valorar el posible daño que puede ser causado
  • 38. Administración de Riesgos Cómo valorar riesgo? $ Inherente Nivel de exposición Residual Probabilidad x Impacto Frecuencia x Impacto
  • 39. Controles Administrativos Politícas, Estándares, Procedimientos, Guías, Entrenamiento Controles Técnicos Acceso lógico, controles, encripción, dispositivos de seguridad, Identificación y autenticación Controles físicos Protección de instalaciones, Guardias, candados, Monitoreo, Controles ambientales Administración de Riesgos Controles en Seguridad
  • 40. Medidas protectoras – acciones, dispositivos, procedimientos o técnicas – que reducen una vulnerabilidad Encripción Interc.Interr. Fab.Mod.Integ.Conf. Disp. Administración de la Configuración (Control de Cambios a Programas) Políticas Controles de Hardware Controles Físicos (candados y guardas) Administración de Riesgos Controles en Seguridad
  • 41. Monitorea r y Revisar Monitorea r y Revisar Valorar prioridades de riesgo Riesgo aceptable? Aceptar SI Considerar factibilidad, costos y beneficios, y niveles de riesgo EvitarTransferir total o parcialmente Reducir consecuencia Reducir probabilidad NO Recomendar estrategias de tratamiento Seleccionar estrategia de tratamiento Preparar planes de tratamiento para reducir, transferir o evitar el riesgo, financiando cuando sea apropiado EvitarTransferir total o parcialmente Reducir consecuencia Reducir probabilidad Riesgo residual aceptable? Retener SINO VALORAR Y PRIORIZAR RIESGOS IDENTIFICAR OPCIONES DE TRATAMIENTO EVALUAR OPCIONES DE TRATAMIENTO PREPARAR PLANES DE TRATAMIENTO IMPLEMENTAR PLANES DE TRATAMIENTO Riesgo residual no aceptable Porción retenida Porción transferida Asegurar la efectividad costo/beneficio de los controles
  • 42. Hardware Software Datos Variables: Cantidad de involucrados Esfuerzo de Aseguramiento Valor del activo Duración del Activo Esfuerzo de detección de incidentes Impacto en los objetivos del negocio Efectividad de la medida Nivel de sofisticación Facilidad de uso Principio de la Adecuada Protección: Los ítems deben ser protegidos solo hasta que ellos pierden su valor y deben ser protegidos de manera consistente con su valor Administración de Riesgos Dónde invertir?
  • 43. Bibliografía  Security in Computing – Charles P. Pfleeger – Prentice Hall  Network Security - Analysis and Implementation - January 1996 - MG-1 - http://www.cse.dnd.ca - Government of Canadá, Communications Security Establishment (CSE)