Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 364 vistas

    Caso Estudio Seguridad Informatica PDF

    Cargado por

    Vivi
    Este documento presenta un análisis de riesgos de seguridad de la información para una empresa. Explica el proceso de calificación y evaluación de riesgos, incluyendo la probabilidad de ocurrencia, impacto potencial, y nivel de riesgo. También describe los tipos de controles que pueden implementarse para mitigar riesgos, como controles preventivos y correctivos. Finalmente, identifica posibles amenazas, vulnerabilidades y riesgos asociados a activos de información de una empresa, como hardware, software, redes, personal e instalaciones

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd

    Caso Estudio Seguridad Informatica PDF

    Cargado por

    Vivi
    364 vistas7 páginas
    Este documento presenta un análisis de riesgos de seguridad de la información para una empresa. Explica el proceso de calificación y evaluación de riesgos, incluyendo la probabilidad de ocurrencia, impacto potencial, y nivel de riesgo. También describe los tipos de controles que pueden implementarse para mitigar riesgos, como controles preventivos y correctivos. Finalmente, identifica posibles amenazas, vulnerabilidades y riesgos asociados a activos de información de una empresa, como hardware, software, redes, personal e instalaciones

    Descripción original:

    Título original

    Caso estudio seguridad informatica.pdf

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento presenta un análisis de riesgos de seguridad de la información para una empresa. Explica el proceso de calificación y evaluación de riesgos, incluyendo la probabilidad de ocurrencia, impacto potencial, y nivel de riesgo. También describe los tipos de controles que pueden implementarse para mitigar riesgos, como controles preventivos y correctivos. Finalmente, identifica posibles amenazas, vulnerabilidades y riesgos asociados a activos de información de una empresa, como hardware, software, redes, personal e instalaciones

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    364 vistas7 páginas

    Caso Estudio Seguridad Informatica PDF

    Cargado por

    Vivi
    Este documento presenta un análisis de riesgos de seguridad de la información para una empresa. Explica el proceso de calificación y evaluación de riesgos, incluyendo la probabilidad de ocurrencia, impacto potencial, y nivel de riesgo. También describe los tipos de controles que pueden implementarse para mitigar riesgos, como controles preventivos y correctivos. Finalmente, identifica posibles amenazas, vulnerabilidades y riesgos asociados a activos de información de una empresa, como hardware, software, redes, personal e instalaciones

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Descargar como pdf o txt
    de 7

    Análisis de amenazas, vulnerabilidad y riesgo de los sistemas de una empresa

    Seguridad Informática

    Sebastián Villalobos

    Desarrollo de software

    Politécnico internacional

    2020
    Análisis De Riesgos

    En este análisis se pretende establecer la probabilidad de ocurrencia de un riesgo y su impacto,


    calificándolo y evaluándolo con el propósito de obtener información que permita establecer el
    nivel de riesgo y las acciones que se van a implementar para su tratamiento. Los aspectos para
    considerar son:

    • Calificación del riesgo: es la estimación de la probabilidad de la ocurrencia del riesgo y el impacto


    que puede causar su materialización. La primera representa el número de veces que el riesgo se
    ha presentado en un determinado tiempo o puede presentarse, y la segunda se refiere a la
    magnitud de sus efectos.

    • Evaluación del riesgo: permite comparar los resultados de la calificación según el grado de
    exposición que TELEPERFORMANCE. puede tener frente al riesgo; de esta forma, en su evaluación
    es posible distinguir entre riesgos Muy Probable, Alto, Medio, bajos y Raro Remoto. Para facilitar
    la calificación y evaluación de los riesgos, se toman los valores de probabilidad o impacto
    relacionados en las siguientes tablas: 19 Valoración del Riesgo: El objetivo de esta etapa es revisar
    los controles implementados para cada uno de los riesgos, esto con el fin de determinar el riesgo
    residual al cual se encuentra expuesto TELEPERFORMANCE.

    • Los tipos de controles previstos para el tratamiento del riesgo son: o Preventivos: aquellos que
    actúan para eliminar las causas del riesgo, previendo su ocurrencia o materialización. o
    Correctivos: aquellos que permiten el restablecimiento de la actividad después de ser detectado
    un evento no deseable; también permiten la modificación de las acciones que propiciaron su
    ocurrencia.

    • El responsable del Proceso debe establecer los controles, las acciones concretas para
    implementar el control, definir los responsables de aplicarlo y la forma de hacer su seguimiento. Al
    elaborar el Mapa de Riesgos de Teleperformance, se verificará si los controles están
    documentados.

    • Medición de los Controles: la medición de los controles se establece a través de: Valoración
    cuantitativa para determinar el número de posiciones que se desplaza en la Matriz de Evaluación y
    Calificación de Riesgos o Verificación de los controles definidos para determinar si estos se aplican
    y han sido efectivos para minimizar el riesgo. Es responsabilidad del Líder del proceso garantizar
    que los controles definidos se apliquen y sean eficaces, y el Oficial de seguridad de la Información
    hará como mínimo una revisión al año a los mapas de riesgos de todos los procesos, con el fin de
    garantizar que se actualizan los controles y no se hayan materializado los riesgos.
    Mapa mental administración del riesgo
    Posibles amenazas a los activos de Información

    Tipo de amenaza Amenazas


    Fuego
    Daños por agua
    Polución
    Destrucción de equipo o medios de
    comunicación
    Daños físicos Polvo, Corrosión, Congelamiento
    Fenómenos climáticos
    Fenómenos sísmicos
    Fenómenos volcánicos
    Eventos naturales Inundación
    Falla en el suministro de agua o aire
    acondicionado
    Falla de suministro de energía
    Falla de equipos de telecomunicaciones
    Perdida de servicios esenciales Impulsos electromagnéticos
    Radiación electromagnética
    Radiación térmica
    Perturbaciones por radiación Impulsos electromagnéticos
    Interceptación de señal
    Espionaje remoto
    Hurto de medios o documentos
    Hurto de equipos
    Recuperación de medios reciclados o
    desechados
    Divulgación
    Datos provenientes de fuentes no
    confiables
    Manipulación de hardware
    Información comprometida Manipulación de software
    Falla de equipo
    Mal funcionamiento del equipo
    Saturación de sistema de información
    Mal funcionamiento del software
    Fallas técnicas Mantenimiento inadecuado del sistema
    Copia fraudulenta de software o de
    información
    Uso de software ilegal
    Acciones no autorizadas Uso no autorizado del Corrupción de datos
    equipo Procesamiento ilegal de datos
    Error en el uso
    Abuso de derechos de acceso
    Compromiso de funciones Falsificación de las credenciales de acceso
    Humanas
    Pirata informático, intruso ilegal
    Criminal informático
    Terrorismo
    Espionaje industrial
    Denegación de acciones Intrusos

    Vulnerabilidades de los activos de la información

    Tipo
    Vulnerabilidad Amenazas
    Falla o insuficiencia en los mantenimientos
    Falta de esquemas de reemplazo de equipos o piezas
    Susceptibilidad de polvo, humedad, barro
    Sensibilidad a la radiación electromagnética
    Falla o ausencia de suministro eléctrico
    Susceptibilidad a las variaciones de temperatura
    Bodegas sin protección
    Ausencia de procedimiento de destrucción y disposición final de medios
    Hardware Copias no controladas
    Ausencia de procesos de pruebas
    Fallas conocidas en el software
    No control de las sesiones de usuario
    Reutilización de medios de almacenamiento sin borrado seguro
    Ausencia de logs o trazabilidad de las actividades para auditoría
    Asignación inadecuada de privilegios de acceso
    No control de la instalación de software
    Interfaces de usuario complejas
    Falta de documentación
    Configuración incorrecta de parámetros
    No sincronización de relojes
    Falta de mecanismos para identificación y autenticación de usuarios
    Tablas de contraseña desprotegidas
    Gestión deficiente de usuarios y claves
    Habilitación de servicios innecesarios
    Uso de software nuevo o inmaduro
    No existencia de procesos para el control de cambios
    Uso no controlado de software
    Software Falta de copias de respaldo
    Ausencia de protecciones en las instalaciones físicas en puertas y ventanas
    Falla en la producción de reportes de gestión
    Ausencia de trazabilidad en el envío o recepción de mensaje
    Líneas de comunicación desprotegidas
    Tráfico de datos sensibles no protegido
    Conexión deficiente de los cables
    Puntos únicos de falla
    Falla en la identificación de transmisor y/o receptor
    Arquitectura de red insegura
    Transferencia de contraseñas sin protección
    Gestión inadecuada de la red
    Redes Conexiones a redes públicas sin protección
    Ausencia de personal
    Procedimientos de selección y contratación de personal inadecuado
    Falta de entrenamiento en seguridad de la información
    Ausencia de conciencia en seguridad de la información
    Falta de mecanismos de monitoreo de personal
    Ausencia o desconocimiento de políticas de uso correcto de activos de
    Personal información
    Uso deficiente de controles de acceso a las instalaciones
    Ubicación en un área susceptible a inundación
    Redes eléctricas inestables
    Instalaciones Ausencia de controles físicos en las instalaciones
    Ausencia de procedimientos formales para registro y retiro del registro de
    usuarios
    Ausencia de procedimientos formales para revisión de los derechos de acceso
    Ausencia o deficiencia en controles de seguridad de la información en
    contratos con terceros
    Falta de procedimientos formales para el monitoreo de los recursos de
    procesamiento de información
    Ausencia de auditorías regulares
    Falta de procedimiento efectivo para gestión de riesgos
    Falta de reportes sobre fallas en los registros de los usuarios, administradores y
    operadores.
    Inadecuados tiempos de respuesta para el mantenimiento del servicio
    Falta o insuficiencia en acuerdos de niveles de servicio
    Falta de procedimientos para la gestión de cambios
    Falta de procedimientos para la revisión de la seguridad de la información
    Ausencia de procedimientos para clasificación de información y su tratamiento
    Ausencia de asignación adecuada de responsabilidades en la seguridad de la
    información
    Inexistencia o insuficiencia de los Planes de continuidad
    Organización Ausencia de procedimientos para el control en el desarrollo de software
    Ausencia de cláusulas sobre las responsabilidades de la seguridad de la
    información en los contratos de funcionarios
    Políticas de seguridad de la información inexistentes o desactualizadas

    Análisis y Gestión de
    Riesgos

    También podría gustarte