Upload File

inv unidad 2 fgsi

18
INSTITUTO TECNOLOGICO DE LAZARO CARDENAS Ingeniería en Sistemas Computacionales Fundamentos de gestión de seguridad de la información Profesor Pablo Gonzales Reynaldo Investigación de la Unidad II Alumno (a): Rosa Lizbeth Silva Soto Fecha de entrega: Martes 24 de Febrero del 2015

Upload: rosita-lizbeth-soto-s

Post on 02-Oct-2015

217 views

Category:

Documents


0 download

Report

DESCRIPTION

unidad 2 de fundamentso de la gestion de la informacion

TRANSCRIPT

INSTITUTO TECNOLOGICO DE LAZARO CARDENAS

Ingeniera en Sistemas Computacionales

Fundamentos de gestin de seguridad de la informacin

ProfesorPablo Gonzales Reynaldo

Investigacin de la Unidad II

Alumno (a):Rosa Lizbeth Silva SotoFecha de entrega:Martes 24 de Febrero del 2015

2.1 Identificacin y evaluacin de riegosEl primer paso en la Gestin de riesgo es el anlisis de riesgo que tiene como propsito determinar los componentes de un sistema que requieren proteccin, sus vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro, con el fin de valorar su grado de riesgo.

2.1.1 Identificacin y valoracin de activos.

Se denomina activo a aquello que tiene algn valor para la organizacin y por tanto debe protegerse. De manera que un activo de informacin es aquel elemento que contiene o manipula informacin. Activos de informacin son ficheros y bases de datos, contratos y acuerdos, documentacin del sistema, manuales de los usuarios, material de formacin, aplicaciones, software del sistema, equipos informticos, equipo de comunicaciones, servicios informticos y de comunicaciones, utilidades generales como por ejemplo calefaccin, iluminacin, energa y aire acondicionado y las personas, que son al fin y al cabo las que en ltima instancia generan, transmiten y destruyen informacin, es decir dentro de un organizacin se han de considerar todos los tipos de activos de informacin.

Para facilitar el manejo y mantenimiento del inventario los activos se pueden distinguir diferentes categoras de los mismos:

Datos:

Todos aquellos datos (en cualquier formato) que se generan, recogen, gestionan, transmiten y destruyen en la organizacin.

Aplicaciones:

El software que se utiliza para la gestin de la informacin.

Personal:

En esta categora se encuentra tanto la plantilla propia de la organizacin, como el personal subcontratado, los clientes, usuarios y, en general, todos aquellos que tengan acceso de una manera u otra a los activos de informacin de la organizacin.

Servicios:

Aqu se consideran tanto los servicios internos, aquellos que una parte de la organizacin suministra a otra (por ejemplo la gestin administrativa), como los externos, aquellos que la organizacin suministra a clientes y usuarios (por ejemplo la comercializacin de productos).

Tecnologa:

Los equipos utilizados para gestionar la informacin y las comunicaciones (servidores, PCs, telfonos, impresoras, routers, cableado, etc.)

Instalaciones:

Lugares en los que se alojan los sistemas de informacin (oficinas, edificios, vehculos, etc.)

Equipamiento auxiliar:

En este tipo entraran a formar parte todos aquellos activos que dan soporte a los sistemas de informacin y que no se hallan en ninguno de los tipos anteriormente definidos (equipos de destruccin de datos, equipos de climatizacin, etc.) Cada uno de los activos que se identifiquen debe contar con un responsable, que ser su propietario. Esta persona se har cargo de mantener la seguridad del activo, aunque no necesariamente ser la que gestione el da a da del mismo. Por ejemplo, puede existir un activo que sea la base de clientes, cuyo propietario sea el Director Comercial, sin embargo sern los comerciales de la organizacin los usuarios del mismo y el responsable de sistemas el encargado del mantenimiento de la base de datos. Pero el propietario decide quin accede y quin no a la informacin, si es necesario aplicarle alguna medida de seguridad o existe algn riesgo que deba ser tenido en cuenta, si le aplica la LOPD y por tanto deben implantarse las medidas de seguridad exigidas por la Ley, etc.El inventario de activos que se va a utilizar para la gestin de la seguridad no debera duplicar otros inventarios, pero s que debe recoger los activos ms importantes e identificarlos de manera clara y sin ambigedades.

El inventario de activos es la base para la gestin de los mismos, ya que tiene que incluir toda la informacin necesaria para mantenerlos operativos e incluso poder recuperarse ante un desastre. Esta informacin como mnimo es:

Identificacin del activo:

Un cdigo para ordenar y localizar los activos.

Tipo de activo:

A qu categora de las anteriormente mencionadas pertenece el activo.

Descripcin:

Una breve descripcin del activo para identificarlo sin ambigedades. Propietario:

Quien es la persona a cargo del activo.

Localizacin:

Dnde est fsicamente el activo. En el caso de informacin en formato electrnico, en qu equipo se encuentra. El inventario de activos no es recomendable que sea demasiado exhaustivo. Desglosar los activos hasta el nivel de registro o de elemento de un equipo informtico no es probable que vaya a proporcionar informacin relevante en cuanto a las amenazas y los riesgos a los que debe hacer frente la organizacin y adems complicar enormemente la realizacin del anlisis de riesgos, ya que cuantos ms activos haya ms laborioso ser el mismo.El inventario deber recoger los activos que realmente tengan un peso especfico y sean significativos para la organizacin, agrupando aquellos que, por ser similares, tenga sentido hacerlo. Por ejemplo, si hay treinta PCs de parecidas caractersticas tcnicas y en la misma ubicacin fsica, pueden agruparse en un nico activo, denominado por ejemplo equipo informtico. En el caso de que hubiera veinte PCs y diez porttiles, si los porttiles no salieran nunca y los treinta equipos permanecieran siempre en la misma ubicacin, tambin se podra asumir que constituyen un nico activo pero si los porttiles se utilizan fuera de las instalaciones de la organizacin, ya no se podran agrupar los treinta equipos, ya que las circunstancias en las que se utilizaran los equipos son distintas, por lo que habra que distinguir dos activos, por ejemplo Equipo informtico fijo para los PCs y Equipo informtico mvil para los porttiles. En algunos casos, la complejidad de la organizacin, de sus procesos o de su contexto, puede hacer necesario el desarrollar un rbol de dependencias entre activos. El concepto es que algunos activos dependen de otros, en uno o ms parmetros de seguridad. Identificar y documentar estas dependencias constituye un rbol de dependencias, que dar una idea ms exacta del valor de cada activo. Por ejemplo, una aplicacin alojada en un servidor, depende este servidor para ejecutarse, para estar disponible. Si el servidor tiene una avera o un error de configuracin, la aplicacin podra ver afectada su disponibilidad. Por lo tanto el valor del servidor puede considerarse que sea no slo el que tiene en s mismo, sino tambin el que tiene por permitir el correcto funcionamiento de la aplicacin.

Valoracin de los activos:

Una vez identificados los activos, el siguiente paso a realizar es valorarlos. Es decir, hay que estimar qu valor tienen para la organizacin, cul es su importancia para la misma. Para calcular este valor, se considera cual puede ser el dao que puede suponer para la organizacin que un activo resulte daado en cuanto a su disponibilidad, integridad y confidencialidad. Esta valoracin se har de acuerdo con una escala que puede ser cuantitativa o cualitativa. Si es posible valorar econmicamente los activos, se utiliza la escala cuantitativa. En la mayora de los casos, no es posible o va a suponer un esfuerzo excesivo, por lo que utilizan escalas cualitativas como por ejemplo: bajo, medio, alto o bien un rango numrico, por ejemplo de 0 a 10 Con independencia de la escala utilizada, los aspectos a considerar pueden ser los daos como resultado de:

Violacin de legislacin aplicable. Reduccin del rendimiento de la actividad. Efecto negativo en la reputacin. Prdidas econmicas. Trastornos en el negocio.

La valoracin debe ser lo ms objetiva posible, por lo que en el proceso deben estar involucradas todas las reas de la organizacin, aunque no participen en otras partes del proyecto y de esta manera obtener una imagen realista de los activos de la organizacin. Es til definir con anterioridad unos parmetros para que todos los participantes valoren de acuerdo a unos criterios comunes, y se obtengan valores coherentes. Un ejemplo de la definicin de estos parmetros podra ser la siguiente: Disponibilidad:

Para valorar este criterio debe responderse a la pregunta de cul sera la importancia o el trastorno que tendra el que el activo no estuviera disponible. Si consideramos como ejemplo una escala de 0 a 3 se podra valorar como sigue:

Integridad: Para valorar este criterio la pregunta a responder ser qu importancia tendra que el activo fuera alterado sin autorizacin ni control. Una posible escala es:

Confidencialidad:

En este caso la pregunta a responder para ponderar adecuadamente este criterio ser cual es la importancia que tendra que al activo se accediera de manera no autorizada. La escala en este caso podra ser:

Tambin debe decidirse cmo se va a calcular el valor total de los activos, bien como una suma de los valores que se han asignado a cada uno de los parmetros valorados, bien el mayor de dichos valores, la media de los mismos, etc. Los criterios para medir el valor del activo deben ser claros, fciles de comprender por todos los participantes en la valoracin y homogneos, para que se puedan comparar los valores al final del proceso. De esta manera se sabr cules son los principales activos de la organizacin, y por lo tanto aquellos que necesitan de una particular atencin. La valoracin de los activos deben realizarla un grupo de personas que sean lo suficientemente representativas como para aportar entre todos una visin razonablemente objetiva de la organizacin. Por supuesto deben ser personas que conozcan bien la organizacin. Si se van a hacer las valoraciones mediante reuniones de trabajo, el grupo no debera ser excesivamente numeroso para que las reuniones no se alarguen demasiado. Si se van a utilizar cuestionarios o entrevistas, se puede involucrar a ms personas, siempre teniendo en cuenta el coste asociado a ello.2.1.2 Identificacin de amenazas y su ocurrencia.El nivel de riesgo se determina analizando la relacin entre las amenazas y las vulnerabilidades. Un riesgo existe cuando una amenaza tiene una vulnerabilidad correspondiente, aunque hay reas de alta vulnerabilidad que no tienen consecuencias si no presentan amenazas.Cuando la explotacin de una amenaza ocurre, los activos sufren cierto impacto. Las prdidas son catalogadas en reas de impacto llamadas:Revelacin: Cuando la informacin es procesada y se pierde la confidencialidadModificacin: El efecto de la manifestacin de una amenaza cambia el estado original del activo.Destruccin: El activo se pierde completamente.Denegacin de servicio: Prdida temporal de los servicios.

2.1.3 Vulnerabilidad.La Vulnerabilidad es la capacidad, las condiciones y caractersticas del sistema mismo (incluyendo la entidad que lo maneja), que lo hace susceptible a amenazas, con el resultado de sufrir algn dao. En otras palabras, es la capacitad y posibilidad de un sistema de responder o reaccionar a una amenaza o de recuperarse de un dao.

2.1.4. ImpactoSon las prdidas resultantes de la actividad de una amenaza, las prdidas son normalmente expresadas en una o ms reas de impacto destruccin, denegacin de servicio, revelacin o modificacin.2.1.5. Calculo de riesgo actualEste es uno de los aspectos ms fundamentales de la evaluacin de riesgos. Existen muchas maneras de abordar este tema y las siguientes pginas ilustran los principios bsicos.

Cualquier maquinaria que suponga la posibilidad de un evento peligroso (es decir, de dao). Mientras mayor sea el riesgo, ms importante ser hacer algo al respecto. En un peligro, el riesgo podra ser tan pequeo que podra tolerarse pero en otro peligro el riesgo podra ser tan grande que necesitaramos tomar medidas extremas para brindar proteccin. Por lo tanto, para tomar una decisin respecto a si hacer algo y que hacer para evitar el riesgo, necesitaramos ser capaces de cuantificarlos.

2.1.6 Identificacin de controlesUbique de forma precisa las vulnerabilidades y amenazas en torno a sus sistemas de informacin (IT), sus procesos de negocio automatizados y no automatizados, sus polticas, procedimientos y cultura de seguridad.

Dependiendo del alcance de su diagnstico de seguridad, usted podr ubicar, relacionar, clasificar y priorizar los hallazgos y vulnerabilidades identificadas, para lo cual puede utilizar los siguientes servicios y productos:

ORCA Software.

Plataforma de software diseada para optimizar los procesos del negocio, en relacin a la Administracin del Riesgo, Cumplimiento Normativo, Seguridad y Gobierno Corporativo.

BusinessInformation Check Up

Es el servicio de pruebas de seguridad de informacin ms completo que existe. Capaz de identificar las amenazas ms ocultas gracias a su gran cobertura y avanzado modelo de anlisis.

Evaluaciones de seguridad en TI

Servicios puntuales de anlisis de riesgo y auditoras dirigidos al permetro de Internet, red interna, o aplicaciones.

2.1.7 Plan de tratamiento de riegosUna vez analizado y cuantificado los riesgos, as como el impacto que tiene en su plan de negocio el emprendedor debe analizar cul es el nivel de oportunidad en caso de asumir el riesgo. En el grfico se muestra una matriz de posicionamiento que muestra diferentes opciones en funcin del nivel de riesgo y oportunidad, en caso de que el emprendedor decida asumir el riesgo, deber emprender un proceso de tratamiento de riesgos. El proceso de tratamiento de riesgos consiste en seleccionar y aplicar las medidas ms adecuadas, con el fin de poder modificar el riesgo, para evitar de este modo los daos intrnsecos al factor de riesgo, o bien aprovechar las ventajas que pueda reportarnos. Cualquier sistema de tratamiento de riesgos debe garantizar como mnimo: Un funcionamiento efectivo y eficiente de la organizacin. Controles internos efectivos. Conformidad con las leyes y reglamentos vigentes.

2.1.8 Monitoreo y Revisin.

Las actividades de monitoreo y Revisin son indispensables para controlar el desarrollo de cualquier proyecto. Los procesos de control del proyecto realizan con el objetivo de conocer los resultados de la gestin y definir cursos de accin alternativos ante las posibles desviaciones.Generalmente el seguimiento o monitoreo se centraen la identificacin de las diferencias existentes respecto de lo programado, en tanto la evaluacin se enfoca en la valoracin de los adelantos alcanzados y en la estimacin de los resultados, efectos e impactos del proyecto. A partir de la evaluacin se formulan acciones para corregir las potenciales desviaciones.Sin embargo, ms all de la mera accin sobre un proyecto en particular, el monitoreo y la evaluacin buscan generar un aprendizaje conjunto (a nivel de Programa) a partir de los xitos y fracasos especficos (de cada proyecto).

Bibliografa

https://www.minambiente.gov.co/images/GestionIntegraldelRecursoHidrico/pdf/Gu%C3%ADa_POMCAs/3._ANEXO_B._Gesti%C3%B3n_del_Riesgo.pdfhttp://www.dgonzalez.net/papers/ids/html/cap02.htmhttps://prezi.com/i0tirjq6bcir/edit/#81_45341393http://www.buenastareas.com/ensayos/Monitoreo-y-Revision/4981378.html


Universidad de Tarapacá Unidad de Análisis e Inv ... UTA 2009.pdfUniversidad de Tarapacá Unidad de Análisis e Inv. Institucional 1 ANUARIO ESTADÍSTICO INSTITUCIONAL 2009 Unidad

Met. Inv. Clase Hipótesis 2 (1).pptx

pasos en la inv. (2).ppt

Ejemplo 2 de Inv de Mercados

Examen Inv. Operativa 2.ppt

INV-300, INV-400, INV-600, INV-1000, INV-1500 · 2017. 11. 22. · 2 INV-300, INV-400, INV-600, INV-1000, INV-1500 INVERSOR DE VOLTAJE Gracias por la compra de este producto Steren

4 Unidad de Inv de Mercados

Taller Final Inv Operaciones 2

HABILIDADES INV-UNIDAD DIDÁCTICA

Santiago suárez met. Inv, 2

Presentación de PowerPointfruticultura2014.weebly.com/uploads/2/2/4/2/22425932/deteccion_de... · Inv. Ezequiel A. Rangel Aranguren INIA-CENIAP, Unidad de Protección Vegetal, Laboratorio

inv arg pg 2

Plan inv 2011[2]

1a. unidad inv. merc

Clase 2 - Inv. Internacional

Inv-2 Problema (1)

PRIMERA UNIDAD DE TALLER DE INV 1.pptx

Ppt unidad iv met inv estig

Investigacion documental unidad 2 fundamentos de inv

Presentación unidad de inv psi 2012

Conf 2 Categorías de La Inv. Cient

Inv de Oper Parcial 2

Presentación informe final, met inv 2

+Unidad 1 inv c

Marco Metodologico en Proyectos de Inv (2)

2a unidad inv merc

Eq 2 Inv Plc (4)

Proyecto Inv Urn 2 (1)

INV Nº 2 Revista Institucional

Lab Inv I Sesion 2

Fundamentos de Inv. Unidad 3

Ta Proyecto Inv. II Industrial(2)

Unidad 2 fundamentos de inv

Inv. Expo Merca Unidad 2

(Metodos Inv.) Tema 2 - La Idea