Interés de la Dirección
Procesos – Subprocesos
Proyectos
Unidades Orgánicas
Sistemas – Aplicaciones
Geográficamente
Lista de Objetos a los cuáles se les puede realizar Administración de Riesgos
Administración de RiesgosQué calificar – Objetos?
Cómo dividir la organización?
Administración de RiesgosQué calificar – Objetos?
Basado en Procesos (Negocio – COBIT)
Basado en Sistemas
Basado en Proyectos
Basado en Infraestructura
Planeación estratégica de sistemas
Desarrollo de sistemas
Evolución o mantenimiento de sistemas
Integración de paquetes de software
Capacitación
Proceso de datos en ambientes de trabajo en batch
Atención a requerimientos de usuarios
Administrar servicios de terceros (incluye outsourcing)
Administración de proyectos
Administración de la infraestructura informática
Dirección y control del área de tecnología de información
Administración de recursos materiales (equipo, tecnología e instalaciones)
Administración de recursos humanos
Administración de recursos financieros
Administración de RiesgosQué calificar – Objetos?
Basado en Procesos (Negocio – COBIT)
Basado en Sistemas
Basado en Proyectos
Basado en Infraestructura
Para un sistema en particular
Programas – Archivos – Procedimientos
Eventos – Entrada – Comunicación – Proceso – Salida – Distribución
Administración de RiesgosQué calificar – Objetos?
Basado en Procesos (Negocio – COBIT)
Basado en Sistemas
Basado en Proyectos
Basado en Infraestructura
A Productos
Análisis al Proceso
Administración de RiesgosQué calificar – Objetos?
Basado en Procesos (Negocio – COBIT)
Basado en Sistemas
Basado en Proyectos
Basado en Infraestructura
Datos Sistemas de Información (Aplicaciones)
Tecnología (Equipos – SW de base y SMBD – SW de Productividad – Metodologías)
Instalaciones Recursos Humanos
Elementos de Administración
Recursos Financieros Proveedores
Administración de RiesgosCómo calificar – Criterios?
Calidad del Control Interno
Competencia de la Dirección (entrenamiento, experiencia, compromiso y juicio)
Integridad de la Dirección (códigos de ética)
Cambios recientes en procesos (políticas, sistemas, o dirección)
Tamaño de la Unidad (Utilidades, Ingresos, Activos)
Liquidez de activos
Cambio en personal clave
Complejidad de operaciones
Crecimiento rápido
Regulación gubernamental
Condición económica deteriorada de una unidad
Presión de la Dirección en cumplir objetivos
Nivel de moral de los empleados
Exposición política / Publicidad adversa
Distancia de la oficina principal
De Negocio
IIA
Exposición financiera
Pérdida y riesgo potencial
Requerimientos de la dirección
Cambios importantes en operaciones, programas, sistemas y controles
Oportunidades de alcanzar beneficios operativos
Capacidades del persona
Pérdida financiera
Pérdida de imagen
Discontinuidad del negocio
Incumplimiento de la misión
(Gp:) Confidencialidad
(Gp:) Integridad
(Gp:) Disponibilidad
Los activos de un sistema computacional son accedidos solo por personas autorizadasEl tipo de acceso es de lectura: leyendo, visualizando, imprimiendo o aún solo conociendo la existencia de un objeto
SECRETO, RESERVA, PRIVACIDAD
“SOLO PERSONAS AUTORIZADAS PUEDEN VER DATOS PROTEGIDOS”
Previene la divulgación no autorizada de datos
Administración de RiesgosCómo calificar – Criterios Seguridad Informática
(Gp:) Confidencialidad
(Gp:) Integridad
(Gp:) Disponibilidad
Administración de RiesgosCómo calificar – Criterios Seguridad Informática
Los activos pueden ser modificados solo por partes autorizadas o solo en formas autorizadasLa modificación incluye escribir, cambiar, cambiar estados, borrar y crear
PRECISIÓN, EXACTITUD, NO MODIFICADO, MODIFICADO SOLO EN FORMAS ACEPTABLES, MODIFICADO SOLO POR PERSONAS AUTORIZADAS, MODIFICADO SOLO POR PROCESOS AUTORIZADOS, CONSISTENCIA, CONSISTENCIA INTERNA, SIGNIFICADO Y RESULTADOS CORRECTOSACCIONES AUTORIZADAS, SEPARACIÓN Y PROTECCIÓN DE RECURSOS, Y DETECCIÓN Y CORRECCIÓN DE ERRORES
“CONTROL RIGUROSO DE QUIEN PUEDE ACCEDER CUALES RECURSOS EN QUE FORMAS”
Previene la modificación no autorizada de datos
(Gp:) Confidencialidad
(Gp:) Integridad
(Gp:) Disponibilidad
INDEPENDENCIA – TRASLAPO
Los activos son accesibles a partes autorizadasAplica a datos y servicios
PRESENCIA DE OBJETOS O SERVICIOS EN FORMA UTIL, CAPACIDAD PARA CUMPLIR LAS NECESIDADES DE SERVICIO, TIEMPO DE ESPERA LIMITADO, TIEMPO DE SERVICIO ADECUADO
RESPUESTA OPORTUNA, TOLEREANCIA A FALLAS, UTILIDAD, CONCURRENCIA CONTROLADA (Soporte para acceso simultáneo, administración de concurrencia y acceso exclusivo)
NEGACIÓN O REPUDIACIÓN DEL SERVICIO
Previene la negación de acceso autorizado a datos
Administración de RiesgosCómo calificar – Criterios Seguridad Informática
2.1. Establecer el Contexto de Administración de Riesgos
2.2. Desarrollar Criterios de Valoración de Riesgos
2.3. Definir la Estructura
2.4. Identificar riesgos
2.5. Identificar causas
Administración de Riesgos2. Identificar Riesgos
(Gp:) Hardware
(Gp:) Software
(Gp:) Datos
Medios de almacenamiento
Redes
Acceso
Gente clave
Administración de RiesgosSeguridad Informática – Activos
Hardware
Servidores, estaciones cliente, dispositivos de comunicación (router, bridge, hub, gateway, modem), dispositivos periférico, cables, fibras
Software (o Servicios)
Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones, herramientas (administrativas, mantenimiento, backup), software bajo desarrollo
Datos
De la organización: bases de datos, hojas electrónicas, procesamiento de palabra, e-mail
De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria, configuración y parámetros de la red
De los usuarios: datos procesados personal, archivos de propiedad del usuario
Administración de RiesgosSeguridad en Redes – Activos (Componentes)
R1 = Acceso no autorizado a la red o sus recursos
R2 = Divulgación no autorizada de información
R3 = Modificación no autorizada a datos y/o software
R4 = Interrupción de las funciones de la red (no disponibilidad de datos o servicios)R4a = incluyendo perdida o degradación de las comunicacionesR4b = incluyendo destrucción de equipos y/o datosR4c = incluyendo negación del servicio
R5 = Acciones engañosas en la red (no saber quien)
Administración de RiesgosSeguridad en Redes – Riesgos
Information Security Risks
Physical Damage: Fire, water, power loss, vandalism
Human Error: Accidental or intentional action
Equipment malfunction: Failure of system
Inside and outside attacks: Hacking , cracking
Misuse of data:Sharing trade secrets
Loss od data: Intentional or unintentional loss
Application error: Computation errors, input errors
Causa
Evento primario fundamento u orígen de una consecuencia
RiesgoConcepto usado para expresar incertidumbre sobre "consecuencias y/o eventos que podrían llegar a impactar el logro de los objetivos"
(Gp:) Consecuencia
Resultado de un evento o situación expresado cualitativa o cuantitativamente
(Gp:) EventoSituación que podría llegar a ocurrir en un lugar determinado en un momento dado
Administración de Riesgos2. Cómo escribir Riesgos?
Causa,
Evento primario
o Situación
RiesgoConcepto usado para expresar incertidumbre sobre "consecuencias y/o eventos que podrían llegar a impactar el logro de los objetivos"
Evento,
Amenaza
Consecuencia,
Impacto,
Exposicióno Resultado
+
Administración de Riesgos2. Cómo escribir Riesgos?
Violación de la privacidad
Demandas legales
Perdida de tecnología propietaria
Multas
Perdida de vidas humanas
Desconcierto en la organización
Perdida de confianza
Administración de RiesgosSeguridad en redes – Impactos Significativos
Naturales
Accidentales
Deliberadas
Administración de RiesgosSeguridad Informática – Amenazas
Origen
Amenaza directa
Impacto inmediato
Terremotos, tormentas eléctricas
Fenómenos astrofísicos
Fenómenos biológicos
Interrupción de potencia, temperatura extrema debido a daños en construcciones,
Perturbaciones electromagnéticas
Muerte de personal crítico
R4, R4a, R4b
R4, R4a
R4, R4c
Administración de RiesgosSeguridad Informática – Amenazas Naturales
Origen
Amenaza directa
Impacto inmediato
Error del Usuario
Error del Administrador
Fallas de equipos
Borrado de archivos, Formateo de drive, mal empleo de equipos, errores de entrada
Configuración inapropiada de parámetros, borrado de información
Problemas técnicos con servidores de archivos, servidores de impresión, dispositivos de comunicación, estaciones cliente, equipo de soporte (cintas de back-up, control de acceso, derrame de café)
R3, R4
R1: R2, R3, R4, R5
R3, R4, R4b
Administración de RiesgosSeguridad Informática – Amenazas Accidentales
Página anterior | Volver al principio del trabajo | Página siguiente |