Clase Riesgos Amenazas Vulnerabilidades
description
Transcript of Clase Riesgos Amenazas Vulnerabilidades
![Page 1: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/1.jpg)
AUDITORIA INFORMATICA
Vulnerabilidades
Amenazas
Riesgos
![Page 2: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/2.jpg)
GESTION DE RIESGOS EN INFORMATICA
Vulnerabilidades
Amenazas Riesgos
En los sistemas informáticos se presentan:
La INTEGRIDAD
La CONFIDENCIALIDAD
La DISPONIBILIDAD
Que Atentan contra
![Page 3: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/3.jpg)
GESTION DE RIESGOS
QUE ES UNA VULNERABILI
DAD?Debilidades Fallas
Presentes en los sistemas informáticos
![Page 4: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/4.jpg)
ALGUNAS VULNERABILIDADES EN INFORMÁTICA.
Mala ubicación del centro de computo.
Software mal configurado.
![Page 5: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/5.jpg)
ALGUNAS VULNERABILIDADES EN INFORMÁTICA.
Software desactualizado.
Falta de Hardware o hardware obsoleto.
![Page 6: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/6.jpg)
ALGUNAS VULNERABILIDADES EN INFORMÁTICA.
Ausencia de copias de seguridad o copias de seguridad incompletas.
Ausencia de seguridad en archivos digitales o archivos físicos confidenciales.
![Page 7: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/7.jpg)
ALGUNAS VULNERABILIDADES EN INFORMÁTICA.
Cuentas de usuario mal configuradas.
Desconocimiento y/o falta de socialización de normas o políticas a los usuarios por los responsables de informática.
![Page 8: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/8.jpg)
ALGUNAS VULNERABILIDADES EN INFORMÁTICA.
Dependencia exclusiva de un proveedor de servicio técnico externo.
Ausencia de documentación de la operación de las aplicaciones.
![Page 9: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/9.jpg)
Pantalla en un sistema de información sin bloqueo por el usuario o sin protector de pantalla.
Centro de computo sin UPS
![Page 10: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/10.jpg)
GESTION DE RIESGOS
QUE SON LAS
AMENAZAS?
Accionesdañinas
Acciones conconsecuenciasnegativas
A los sistemas informáticos
![Page 11: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/11.jpg)
ALGUNAS AMENAZAS EN INFORMÁTICA
Se puede Contraer virus. Se pueden Dañar equipos de computo Se puede acceder sin autorización a los
sistemas de información. Se pueden presentar inundaciones. Se pueden presentar interrupciones en
el servicio. Pueden Fallar los equipos de computo. Se pueden presentar desastres
naturales. Se puede parar la empresa
![Page 12: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/12.jpg)
RIESGOS
RIESGO
Probabilidad de queUna amenaza se
materialice utilizando una vulnerabilidad,
generando un impacto con perdidas o daños.
![Page 13: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/13.jpg)
RIESGOS
Algunos ejemplos de riesgos. Perdida de datos Información errónea Daños en hardware Perdidas económicas Perdida de credibilidad. Caída de la Red. Servidor fuera de servicio
![Page 14: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/14.jpg)
RIESGOS
Destrucción de información confidencial.
Fuga de información. Falta de disponibilidad de aplicaciones
criticas. Incendios en el centro de computo. Perdida de integridad de los datos.
![Page 15: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/15.jpg)
PROBABILIDAD
Probabilidad: de ocurrencia de la amenaza, puede ser cualitativa o cuantitativa
![Page 16: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/16.jpg)
IMPACTO
Impacto: consecuencias de la ocurrencia de la amenaza, pueden ser Económicas, no
Económicas
![Page 17: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/17.jpg)
VALORACIÓN DEL RIESGO
Proceso mediante el cual se establece la probabilidad de que ocurran daños o pérdidas materiales y la cuantificación de los mismos.La valoración del riesgo, es el producto de la Probabilidad de Amenaza por el impacto del daño, está agrupado en tres rangos.
Bajo Riesgo = 1 – 6 (Verde) Medio Riesgo = 8 – 9 (amarillo) Alto Riesgo = 12 – 16 (rojo)
![Page 18: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/18.jpg)
MATRIZ VALORACIÓN DEL RIESGOS (AMENAZA VS IMPACTO)
![Page 19: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/19.jpg)
GESTION DE RIESGOS
Los objetivos de la gestión de riesgos son:
Identificar Controlar Reducir o eliminar las fuentes de riesgo
antes de que empiecen a afectar al cumplimiento de los objetivos. (contramedidas)
![Page 20: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/20.jpg)
ADMINISTRACIÓN DE RIESGOS
No existe una practica para reducir el riesgo a cero (0), solo la administración debe determinar minimizar la ocurrencia del riesgo, utilizando para ello el CONTROL interno.
![Page 21: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/21.jpg)
MEDIDAS ANTE LA PRESENCIA DE RIESGOS
Son los medios utilizados para eliminar o reducir un riesgo. Se clasifican en:
MEDIDAS DE SEGURIDAD ACTIVA. MEDIDAS DE SEGURIDAD PASIVA
Las medidas de Seguridad Activa son utilizadas para reducir o minimizar la ocurrencia del riesgo y se clasifican en: Medidas Preventivas (antes del incidente) Medidas Detectivas (durante el incidente)
![Page 22: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/22.jpg)
MEDIDAS ANTE LA PRESENCIA DE RIESGOS
medidas preventivas: La autenticación de usuarios (contraseñas) El control de acceso a los datos (permisos
o privilegios) La encriptación de datos sensibles o
confidenciales. La instalación y correcta configuración de
un buen antivirus. La socialización a los usuarios de normas
y politicas en informatica.
![Page 23: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/23.jpg)
MEDIDAS ANTE LA PRESENCIA DE RIESGOS
La actualización del software (sistemas operativos, aplicaciones, programas)
La instalación de hardware redundante en los servidores (discos espejos, fuentes de energía, tarjetas de red.
La instalación de una UPS. La validación de los datos. La implementación de sistemas de acceso al
CPD.
![Page 24: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/24.jpg)
MEDIDAS ANTE LA PRESENCIA DE RIESGOS
Medidas Detectivas: Sistemas de detección de intrusos Procedimientos para análisis de los log Antivirus Antispyware. Firewalls o cortafuegos
![Page 25: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/25.jpg)
MEDIDAS ANTE LA PRESENCIA DE RIESGOS
MEDIDAS DE SEGURIDAD PASIVAS.Son medidas utilizadas para minimizar el impacto causado cuando se presenta el incidente. También se conocen como medidas correctivas. (se aplican después de ocurrido el incidente). La recuperación de datos usando una
copia de seguridad. Ejecución de un plan de contingencias.
![Page 26: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/26.jpg)
CICLO ADMINISTRACIÓN DE RIESGOS
LA ADMINISTRACIÓN DE RIESGOS EMPRESARIALES REQUIERE:
IDENTIFICAR VAR
PONDERAR CADA RIESGO
EVALUAR EFECTIVIDA CONTROLES
TOMAR DECISION RIESGO
RESIDUAL
PROBABILIDADE OCURRENCIA
DEFINIRIMPACTO
1 2
2a
2b
34
![Page 27: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/27.jpg)
RIESGO RESIDUAL
Es un suceso o circunstancia indeterminada que permanece después de haber ejecutado todos los controles a los riesgos
![Page 28: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/28.jpg)
ADMINISTRACIÓN DEL RIESGO
Riesgo Total = Probabilidad de ocurrencia * Impacto promedio
AMENAZA Servidores Terminales Datos Instalaciones PersonalIncendio 1% 20 10 16 124 82 2,52 100% - Inundacion 0,50% 20 20 16 44 2 0,51 90% 0,05 Accesos no autorizados 20% 2 0 24 0 0 5,20 50% 2,60 Fallas 25% 1 1 4 0 0 1,50 50% 0,75 Virus 30% 4 6 2 0 0 3,60 80% 0,72
Riesgo Total y Riesgo Residual
Grado de Impacto (millones$)Riesgo total
Efectividad del control
Riesgo residual
Probabilidad
![Page 29: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/29.jpg)
DECISIÓN DEL RIESGO RESIDUAL
• T erminar • R educir • A ceptar • P asar
![Page 30: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/30.jpg)
DECISIÓN DEL RIESGO RESIDUAL
• Terminar: abandonar la actividad por excesivamente riesgosa
• Reducir: fortalecer controles o implementar nuevos controles
• Aceptar: tomar el riesgo• Pasar: contratar, por ejemplo, una
póliza de seguro (ejemplo póliza de seguros para amparar ataques cibernéticos)
![Page 31: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/31.jpg)
SEGURIDAD FISICA
![Page 32: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/32.jpg)
EN QUE CONSISTE….
La Seguridad Física consiste en la protección del entorno Informático (hardware y edificios de computo) mediante la aplicación de barreras físicas y procedimientos de control, ante posibles amenazas físicas
![Page 33: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/33.jpg)
VULNERABILIDADES FISICAS
Es la situación creada por controles mal diseñados o por la falta de uno o varios controles y que pueden crear una amenaza que pueden afectar al entorno informático. Ejemplos: falta de controles de acceso lógico, falta de controles electricos, inexistencia de un control de soportes magnéticos, falta de cifrado en las comunicaciones, etc
![Page 34: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/34.jpg)
AMENAZAS PARA LA SEG FISICA
AMENAZA:Personas o elementos vistos como posible fuente de peligro o catástrofe. Los mecanismos de seguridad física deben resguardar de amenazas producidas tanto por el hombre como por la naturaleza los recursos informáticos de la empresa.
![Page 35: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/35.jpg)
AMENAZAS FÍSICAS
Ejemplo de amenazas físicas inundaciones incendios Terremotos Fugas de agua
![Page 36: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/36.jpg)
AMENAZAS POR PERSONAS
Sabotaje internos o externos (conductas dirigidas a causar daños al hardware o software: accesos no autorizados, daño o modificacion sin autorizacion al software, Negligencia en aplicación de políticas de seguridad
Errores involuntarios o voluntarios en el uso de la tecnología informática.
Ingeniería Social
![Page 37: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/37.jpg)
RIESGO
RIESGO: la probabilidad de que una amenaza llegue a suceder debido a una vulnerabilidad con consecuencias negativas.
![Page 38: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/38.jpg)
CONTROLES PARA SEG FISICA
Instalación de Alarmas. Extintores manuales de incendios. Sensores de temperatura. Detectores de humo. Ubicación estratégica del centro de cómputos. Paredes, pisos y cielorrasos a prueba de
incendios Protectores de voltaje Interruptor de energía de emergencia No comer, beber, fumar dentro del centro de
cómputos Humedad y Temperaturas adecuadas Planes documentados y probados de
evacuación de emergencia. Adquisición de UPS.
![Page 39: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/39.jpg)
CONTROLES DE ACCESO FÍSICO
Cerraduras con combinación. Cerraduras electrónicas: utiliza llave, ficha o
tarjeta magnética. Cerraduras biométricas. Bitácora o registro manual: libro de visitantes
que incluya nombre, motivo de la visita, fecha, hora y firma
Cámara de video. Guardias de Seguridad Acceso controlado de visitantes: ej.
acompañados siempre de un empleado responsable.
Sistema de alarma. 2 puertas de acceso ubicadas en sentidos
contrarios
![Page 40: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/40.jpg)
SEGURIDAD LOGICA
![Page 41: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/41.jpg)
EN QUE CONSISTE
La seguridad lógica, se refiere a la protección del uso del software (datos, programas y aplicaciones), con el fin de mantener la integridad, la confidencialidad y la disponibilidad de la información.
![Page 42: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/42.jpg)
OBJETIVOS
Preservar los Activos de Información de la empresa para que sean siempre utilizados de forma autorizada.Evitar acciones que puedan provocar su alteración, denegación, borrado o divulgación no autorizados, de forma accidental o intencionada
![Page 43: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/43.jpg)
SEGURIDAD LÓGICA
La seguridad lógica abarca las siguientes áreas:
Aplicaciones Informáticas. Claves de acceso. Software de control de acceso. Encriptamiento.
![Page 44: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/44.jpg)
AUTENTICACIÓN DE USUARIOS
Objetivo Asegurar que un usuario es quien dice ser, cuando accede al Sistema. En general, el proceso de autenticación de un usuario está basado en:
algo que sabe (contraseña); algo que tiene (tarjeta, dispositivo, etc.); algo que es (características biométricas).
La utilización de sólo uno de los métodos anteriores se denomina Autenticación Simple.
![Page 45: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/45.jpg)
CARACTERISTICAS DE LAS CONTRASEÑAS
Para la protección de los Activos de Información de la empresa y la protección del propio usuario, la contraseña:
Tiene que ser secreta y no compartida con nadie,
No puede ser visualizada en pantalla mientras se teclea,
No puede ser almacenada en claro (sin cifrar).
![Page 46: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/46.jpg)
CARACTERISTICAS DE LAS CONTRASEÑAS
tener una longitud mínima de 6 caracteres; o tener al menos un carácter numérico y uno alfabético;
no empezar ni terminar con un número; no tener mas de dos caracteres iguales
consecutivos. ser cambiada, al menos, cada 60 días
para usuarios generales y cada 30 días para usuarios que tengan algún tipo de privilegio o autoridad. Tiene que haber instalado un control que informe a los usuarios cuando su contraseña tiene que ser cambiada;
![Page 47: Clase Riesgos Amenazas Vulnerabilidades](https://reader035.fdocumento.com/reader035/viewer/2022062222/55cf9147550346f57b8c448d/html5/thumbnails/47.jpg)
CARACTERISTICAS DE LAS CONTRASEÑAS
No debe ser reutilizada hasta después de, al menos, 12 cambios;
no contener el identificador de usuario, como parte de la contraseña.