Mario Alberto Rodriguez Vargas
MARIO ALBERTO RODRIGUEZ VARGAS MARIO Facilitadora: Nora Chirino Martínez Seguridad de la Informática Actividad 1 MARI
Views 76 Downloads 12 File size 598KB
Recommend stories
- Author / Uploaded
- Guillermo Vázquez González
Citation preview
MARIO ALBERTO RODRIGUEZ VARGAS MARIO Facilitadora: Nora Chirino Martínez
Seguridad de la Informática Actividad 1
MARIO ALBERTO RODRIGUEZ VARGAS
23 de abril de 2015
Índice
Riesgos informáticos………………………………………………………………………………….………………..3
Niveles de Seguridad…………………………………………………………………………………………….…….5
Estándares………………………………………………………………………………………………………………5
Cultura preventiva……………………………………………………………………………………………………...7
Conclusión………………………………………………………………………………………………………………8
Fuentes………………………………………………………………………………………………………………….8
2
MARIO ALBERTO RODRIGUEZ VARGAS
23 de abril de 2015
Riesgos informáticos Un riesgo informático es cuando se pone en vulnerabilidad un sistema dando una alteración a la ejecución de operaciones no autorizadas cuyos efectos pueden conllevar a daños sobre la información, comprometer su confidencialidad, autenticidad o integridad, disminuir el rendimiento de los equipos o bloqueara el acceso de usuarios autorizados al sistema. Proceso de análisis de riesgos informáticos Análisis de Riesgos Tipos de análisis del riesgo: Una de las principales funciones del análisis del riesgo de seguridad es poner este proceso sobre una base más objetiva. Existen dos tipos esenciales del análisis del riesgo: I. II.
Análisis cuantitativo del riesgo Análisis cualitativo del riesgo
El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo total es: RT (Riesgo Total) = Probabilidad x Impacto Promedio A partir de esta fórmula determinaremos su tratamiento y después de aplicar los controles podremos obtener el riesgo residual.
3
MARIO ALBERTO RODRIGUEZ VARGAS
23 de abril de 2015
Como se describe en el BS ISO/IEC 27001:2005, la evaluación del riesgo incluye las siguientes actividades y acciones:
Identificación de los activos. Identificación de los requisitos legales y de negocios que son relevantes para la identificación de los activos. Valoración de los activos identificados. Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad. Identificación de las amenazas y vulnerabilidades importantes para los activos identificados. Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir. Cálculo del riesgo. Evaluación de los riesgos frente a una escala de riesgo preestablecidos. Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser: o Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles. o Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo. o Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero. o Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto se acepta.
4
MARIO ALBERTO RODRIGUEZ VARGAS
23 de abril de 2015
Niveles de Seguridad Nivel D (Protección mínima) Sin seguridad, está reservada para sistemas que han sido evaluados y no cumplen con ninguna especificación de seguridad.
Nivel C1 (Protección Discrecional) Se requiere identificación de usuarios que permite el acceso a distinta información. Cada usuario puede manejar su información privada y se hace la distinción entre los usuarios y el administrador del sistema, quien tiene control total de acceso.
Estándares Estandares ISO 17799
El estándar de seguridad de la información ISO 17799, es descendiente del BS 7799 – Information Security Management Standard – de la BSI (British Standard Institute) que publicó su primera versión en Inglaterra en 1995, con actualizaciones realizadas en 1998 y 1999, consiste de dos partes: Parte 1. Código de prácticas. Parte 2. Especificaciones del sistema de administración de seguridad de la información. Por la necesidad generalizada de contar con un estándar de carácter internacional que permitiera reconocer o validar el marco de referencia de seguridad aplicado por las organizaciones, se elaboró el estándar ISO17799:2000, basado principalmente en la primera parte del BS 7799 conocida como Código de Prácticas (BS 7799 Part 1: Code of Practice). El ISO 17799, al definirse como una guía en la implementación del sistema de administración de la seguridad de la información, se orienta a preservar los siguientes principios de la seguridad informática: Confidencialidad. Asegurar que únicamente personal autorizado tenga acceso a la información. Integridad. Garantizar que la información no será alterada, eliminada o destruida por entidades no autorizadas. Disponibilidad. Asegurar que los usuarios autorizados tendrán acceso a la información cuando la requieran.
5
MARIO ALBERTO RODRIGUEZ VARGAS
23 de abril de 2015
Estos principios en la protección de los activos de información constituyen las normas básicas deseables en cualquier organización, sean instituciones de gobierno, educativas e investigación; no obstante, dependiendo de la naturaleza y metas de las organizaciones, éstas mostrarán especial énfasis en algún dominio o área del estándar ISO 17799.
6
MARIO ALBERTO RODRIGUEZ VARGAS
23 de abril de 2015
Cultura preventiva Existen diversas razones para considerar la implementación de una Administración Integral de Riesgos: •Evitar Sorpresas. Lograr una cultura preventiva •Aprovechar oportunidades. El mayor riesgo pudiera ser el no aceptar/tomar ningún riesgo •Reducir costos y pérdidas
7
MARIO ALBERTO RODRIGUEZ VARGAS
23 de abril de 2015
Conclusión
Mediante el análisis de riesgos que existen en los sistemas informáticos se puede tomar un plan de prevención y de acción para posibles vulnerabilidades o ataques en la que se ponga en riesgo la información y la confidencialidad de la empresa y sus empleados. Es decir en operaciones administrativas o de funcionamiento.
Fuentes http://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico http://redyseguridad.fi-p.unam.mx/proyectos/seguridad/TiposAnalisis.php auditoriadesistemas.galeon.com/productos2223863.html
8