gestion de-riesgo-en-la-seguridad-informatica
TRANSCRIPT
![Page 1: Gestion de-riesgo-en-la-seguridad-informatica](https://reader034.vdocuments.mx/reader034/viewer/2022042815/5575e0e3d8b42af74e8b45a7/html5/thumbnails/1.jpg)
protejete.wordpress.com
Objetivos
● Saber que es la Seguridad Informática
● Identificar aspectos que deben considerarse para el estudio de la Seguridad Informática
● Conocer método parala Gestión de Riesgo
Estado de la Seguridad Informática en las Organizaciones Sociales
![Page 2: Gestion de-riesgo-en-la-seguridad-informatica](https://reader034.vdocuments.mx/reader034/viewer/2022042815/5575e0e3d8b42af74e8b45a7/html5/thumbnails/2.jpg)
protejete.wordpress.com
Definición de Seguridad Informática
● Garantizar condiciones y características dedatos e información– Confidencialidad: Acceso autenticado y controlado– Integridad: Datos completos y nonmodificados– Disponibilidad: Acceso garantizado
● Manejo del peligro– Conocerlo– Clasificarlo– Protegerse contra daños
![Page 3: Gestion de-riesgo-en-la-seguridad-informatica](https://reader034.vdocuments.mx/reader034/viewer/2022042815/5575e0e3d8b42af74e8b45a7/html5/thumbnails/3.jpg)
protejete.wordpress.com
Gestión de Riesgo
Análisisde Riesgo
Clasificaciónde Riesgo
Controlde Riesgo
Reducciónde Riesgo
Política de Seguridad: Procesos, Reglas y Norma Institucionales
![Page 4: Gestion de-riesgo-en-la-seguridad-informatica](https://reader034.vdocuments.mx/reader034/viewer/2022042815/5575e0e3d8b42af74e8b45a7/html5/thumbnails/4.jpg)
protejete.wordpress.com
Seguridad Informática
Seguridad dela información
Protección dedatos
SeguridadInformática
![Page 5: Gestion de-riesgo-en-la-seguridad-informatica](https://reader034.vdocuments.mx/reader034/viewer/2022042815/5575e0e3d8b42af74e8b45a7/html5/thumbnails/5.jpg)
protejete.wordpress.com
Seguridad de la Información
Seguridad de la información =Protección contra pérdida y modificación
Motivación: Interés propio
![Page 6: Gestion de-riesgo-en-la-seguridad-informatica](https://reader034.vdocuments.mx/reader034/viewer/2022042815/5575e0e3d8b42af74e8b45a7/html5/thumbnails/6.jpg)
protejete.wordpress.com
Protección de Datos
Protección de datos =Protección de la personalidad y los derechos personales de los individuos, que salen en los datos, para evitar consecuencias negativas en contra de ellos.
Motivación: Obligación jurídica
![Page 7: Gestion de-riesgo-en-la-seguridad-informatica](https://reader034.vdocuments.mx/reader034/viewer/2022042815/5575e0e3d8b42af74e8b45a7/html5/thumbnails/7.jpg)
protejete.wordpress.com
Retos de la Seguridad
● No recibe atención adecuada– Costos– Ignorancia, falta de conocimiento– Negligencia del personal– Falta o no respetar de normas y reglas
● Proceso dinámico y permanente– Seguimiento de control y sanciones– Adaptar mediadas a cambios de entorno– Capacitación del personal– Documentación
!
![Page 8: Gestion de-riesgo-en-la-seguridad-informatica](https://reader034.vdocuments.mx/reader034/viewer/2022042815/5575e0e3d8b42af74e8b45a7/html5/thumbnails/8.jpg)
protejete.wordpress.com
Elementos de Información
● Datos e información– Finanzas, RR.HH, Llamadas telefónicas,
Correo electrónico, Base de Datos, Chateo, ...
● Sistemas e infraestructura– Edificio, Equipos de red, Computadoras,
Portátiles, Memorias portátiles, Celulares, ...
● Personal– Junta Directiva, Coordinación,
Administración, Personal técnico, ...
![Page 9: Gestion de-riesgo-en-la-seguridad-informatica](https://reader034.vdocuments.mx/reader034/viewer/2022042815/5575e0e3d8b42af74e8b45a7/html5/thumbnails/9.jpg)
protejete.wordpress.com
Amenazas
● Criminalidad (común y política)– Allanamiento, Sabotaje, Robo / Hurto,
Fraude, Espionaje, Virus, ...
● Sucesos de origen físico– Incendio, Inundación, Sismo, Polvo
Sobrecarga eléctrica, Falta de corriente, ...
● Negligencia y decisiones institucionales– Falta de reglas, Falta de capacitación, No cifrar
datos críticos, Mal manejo de contraseñas, ...
![Page 10: Gestion de-riesgo-en-la-seguridad-informatica](https://reader034.vdocuments.mx/reader034/viewer/2022042815/5575e0e3d8b42af74e8b45a7/html5/thumbnails/10.jpg)
protejete.wordpress.com
Vulnerabilidades
● Ambiental / Físicas– Desastres naturales, Ubicación,
Capacitad técnica, Materiales...
● Económica– Escasez y mal manejo de recursos
● SocioEducativa– Relaciones, Comportamientos, Métodos,
Conductas...
● Institucional / Política– Procesos, Organización, Burocracia,
Corrupción, Autonomía
![Page 11: Gestion de-riesgo-en-la-seguridad-informatica](https://reader034.vdocuments.mx/reader034/viewer/2022042815/5575e0e3d8b42af74e8b45a7/html5/thumbnails/11.jpg)
protejete.wordpress.com
Clasificación y Flujo de Información
● Identificar tipo de datos e información y clasificarlo– Confidencial (acceso restringido: personal interno autorizado)– Privado (acceso restringido: personal interno)– Sensitivo (acceso controlado: personal interno, público
externo con permiso)– Público
● Análisis de flujo de información– Observar cuáles instancias manejan que información– Identificar grupos externos que dependen o están interesados
en la información– Determinar si se deben efectuar cambios en el manejo de la
información
![Page 12: Gestion de-riesgo-en-la-seguridad-informatica](https://reader034.vdocuments.mx/reader034/viewer/2022042815/5575e0e3d8b42af74e8b45a7/html5/thumbnails/12.jpg)
protejete.wordpress.com
Análisis de RiesgoM
agni
tud
de D
a
ñ o
Probabilidad de Amenaza
4
8 12
Bajo Riesgo (16)
Medio Riesgo (89)
Alto Riesgo (1216)
Riesgo = Probabilidad de Amenaza * Magnitud de Daño
16
96
86
2
4
3 12
2
1 3 4
1 2 3 4
1
2
3
4
Valores:1 = Insignificante2 = Baja3 = Mediana4 = Alta
![Page 13: Gestion de-riesgo-en-la-seguridad-informatica](https://reader034.vdocuments.mx/reader034/viewer/2022042815/5575e0e3d8b42af74e8b45a7/html5/thumbnails/13.jpg)
protejete.wordpress.com
¿Cómo valorar la Probabilidad de Amenaza?
● Consideraciones– Interés o la atracción por parte de individuos externos– Nivel de vulnerabilidad– Frecuencia en que ocurren los incidentes
● Valoración de probabilidad de amenaza– Baja: Existen condiciones que hacen muy lejana la
posibilidad del ataque– Mediana: Existen condiciones que hacen poco probable un
ataque en corto plazo, pero no son suficientes para evitarlo en el largo plazo
– Alta: Ataque es inminente. No existen condiciones internas y externas que impidan el desarrollo del ataque
![Page 14: Gestion de-riesgo-en-la-seguridad-informatica](https://reader034.vdocuments.mx/reader034/viewer/2022042815/5575e0e3d8b42af74e8b45a7/html5/thumbnails/14.jpg)
protejete.wordpress.com
¿Cuándo hablamos de un Impacto?
● Se pierde la información/conocimiento
● Terceros tienen acceso a la información/conocimiento
● Información ha sido manipulada o está incompleta
● Información/conocimiento o persona no está disponible
● Cambio de legitimidad de la fuente de información
![Page 15: Gestion de-riesgo-en-la-seguridad-informatica](https://reader034.vdocuments.mx/reader034/viewer/2022042815/5575e0e3d8b42af74e8b45a7/html5/thumbnails/15.jpg)
protejete.wordpress.com
¿Cómo valorar la Magnitud de Daño?
● Consideración sobre las consecuencias de un impacto– ¿Quién sufrirá el daño?– Incumplimiento de confidencialidad (interna y externa)– Incumplimiento de obligación jurídicas / Contrato / Convenio– Costo de recuperación (imagen, emocional,
recursos: tiempo, económico)
● Valoración de magnitud de daño– Bajo: Daño aislado, no perjudica ningún componentes de
organización– Mediano: Provoca la desarticulación de un componente de
organización. A largo plazo puede provocar desarticulación de organización
– Alto: En corto plazo desmoviliza o desarticula a la organización
![Page 16: Gestion de-riesgo-en-la-seguridad-informatica](https://reader034.vdocuments.mx/reader034/viewer/2022042815/5575e0e3d8b42af74e8b45a7/html5/thumbnails/16.jpg)
protejete.wordpress.com
Clasificación de Riesgo
Seguro, pero exceso de atención Inseguro, poca atención
Bajo riesgo Bajo riesgoAlto riesgo Alto riesgo
![Page 17: Gestion de-riesgo-en-la-seguridad-informatica](https://reader034.vdocuments.mx/reader034/viewer/2022042815/5575e0e3d8b42af74e8b45a7/html5/thumbnails/17.jpg)
protejete.wordpress.com
Riesgo restante
¡Nada es 100% seguro, siempre queda un riesgo restante!
![Page 18: Gestion de-riesgo-en-la-seguridad-informatica](https://reader034.vdocuments.mx/reader034/viewer/2022042815/5575e0e3d8b42af74e8b45a7/html5/thumbnails/18.jpg)
protejete.wordpress.com
Reducción de Riesgo
● Medidas físicas y técnicas– Construcciones de edificio, Control de acceso,
Planta eléctrica, Antivirus, Datos cifrados,Contraseñas inteligentes, ...
● Medidas personales– Contratación, Capacitación, Sensibilización, ...
● Medidas organizativas– Normas y reglas, Seguimiento de control,
Auditoría, ...
![Page 19: Gestion de-riesgo-en-la-seguridad-informatica](https://reader034.vdocuments.mx/reader034/viewer/2022042815/5575e0e3d8b42af74e8b45a7/html5/thumbnails/19.jpg)
protejete.wordpress.com
Medidas de Protección
● Medidas dependiendo del grado de riesgo– Medio riesgo: Medidas parciales para mitigar daño– Alto riesgo: Medidas exhaustivas para evitar daño
● Verificación de funcionalidad– Respaldado por coordinación– Esfuerzo adicional y costos vs. eficiencia– Evitar medidas pesadas o molestas
● Fundado en normas y reglas– Actividades, frecuencia y responsabilidades– Publicación