ing electrico
Páginas: 51 (12604 palabras)
Publicado: 28 de octubre de 2014
UNIDAD 2 Concepto de análisis de riesgos
Introducción
Cada día va en aumento la cantidad de casos de incidentes relacionados con la
seguridad de los sistemas de información que comprometen los activos de las
empresas.
Lo que antes era ficción,
en
la
actualidad
se
convierte, en
muchos
casos, en realidad. Las
amenazas siempre han
existido, la diferencia es
que ahora, el enemigo esmás rápido, más difícil
de detectar y mucho
más atrevido. Es por
esto,
que
toda
organización debe estar
en
alerta
y
saber
implementar sistemas de
seguridad basados en un
análisis de riesgos para
evitar o minimizar las
consecuencias
no
deseadas.
Sin embargo es importante enfatizar que antes de implementar la seguridad, es
fundamental conocer con detalle el entorno que respaldalos procesos de negocio de
las organizaciones en cuanto a su composición y su criticidad para priorizar las
acciones de seguridad de los procesos clave de negocio más críticos y vinculados al
logro de los objetivos de la organización.
Objetivos
Conocer los conceptos referentes a la actividad de
análisis de riesgos - también conocida como análisis de
seguridad para tener el fundamentoque soporta la
administración de la seguridad de la información.
Identificar los procesos de negocios de la organización
para distinguir los activos que los componen
considerando toda la infraestructura tecnológica,
organizacional y humana.
Describir las amenazas potenciales que pueden causar
incidentes de seguridad.
Determinar las vulnerabilidades presentes en los activos
definidos paraque sean corregidas debidamente.
Contenido de la unidad:
Concepto de análisis de riesgos.
Momento y ámbitos del análisis de riesgos.
Actividades del análisis de riesgos.
Relevancia de los procesos de negocio y sus activos.
Definición del equipo involucrado y entrevistas a usuarios.
Análisis técnico de seguridad.
Análisis de seguridad física.
Relevancia de los activos para el análisis deriesgos y resultados.
Capítulo 1. Análisis de riesgos
1.1 Introducción
Son muchos los escenarios que pueden evaluarse en materia de seguridad de la
información y el análisis de riesgos. A continuación presentamos un par de ejemplos,
en los que incluso en ocasiones, es difícil distinguir la ficción de la realidad:
a) Después de 60 segundos de intentos un hacker logra entrar al
sistemade seguridad del Departamento de Defensa de los
Estados Unidos.
¿Usted considera realidad o ficción este
escenario?
Tal vez haya pensado que es una situación que realmente
sucedió, pero sólo estamos citando una escena de la película
“Sword Fish”, por lo tanto en este caso, el que un intruso tenga
acceso no permitido al sistema de información del Departamento
de Defensa, es sólo una ficción.Sin embargo, los escenarios a los que nos enfrentamos
diariamente son cada vez más parecidos a este tipo de ficción. Es
importante actuar en consecuencia y estar conscientes sobre las
posibles fallas de seguridad de la empresa.
Veamos otro caso…
“Sword Fish”
b) Veinticinco días después de detectar una vulnerabilidad en una
aplicación de uso común en la red, un virus es creado paraaprovechar esa debilidad. Catorce días después, es difundido a
través del Internet y por lo tanto miles de computadoras de
muchos usuarios alrededor del mundo que tienen esta aplicación
vulnerable se infectan. ¿Será realidad o ficción si esto fuera
posible?
Claro que estamos ante un caso que aunque piense que no es
posible, es una realidad, ya que sucedió y es la historia de la
creación delvirus tipo gusano conocido como Blaster.
Hoy en día, las vulnerabilidades son explotadas a una velocidad
mucho mayor por aquellas personas cuya intención es dañar los
activos de las empresas. Dicha velocidad implica que debemos
estar más alertas que nunca, no sólo actuando en consecuencia,
sino también previniendo posibles riesgos y problemas de
seguridad.
Gusano “Blaster”
1.2...
Introducción
Cada día va en aumento la cantidad de casos de incidentes relacionados con la
seguridad de los sistemas de información que comprometen los activos de las
empresas.
Lo que antes era ficción,
en
la
actualidad
se
convierte, en
muchos
casos, en realidad. Las
amenazas siempre han
existido, la diferencia es
que ahora, el enemigo esmás rápido, más difícil
de detectar y mucho
más atrevido. Es por
esto,
que
toda
organización debe estar
en
alerta
y
saber
implementar sistemas de
seguridad basados en un
análisis de riesgos para
evitar o minimizar las
consecuencias
no
deseadas.
Sin embargo es importante enfatizar que antes de implementar la seguridad, es
fundamental conocer con detalle el entorno que respaldalos procesos de negocio de
las organizaciones en cuanto a su composición y su criticidad para priorizar las
acciones de seguridad de los procesos clave de negocio más críticos y vinculados al
logro de los objetivos de la organización.
Objetivos
Conocer los conceptos referentes a la actividad de
análisis de riesgos - también conocida como análisis de
seguridad para tener el fundamentoque soporta la
administración de la seguridad de la información.
Identificar los procesos de negocios de la organización
para distinguir los activos que los componen
considerando toda la infraestructura tecnológica,
organizacional y humana.
Describir las amenazas potenciales que pueden causar
incidentes de seguridad.
Determinar las vulnerabilidades presentes en los activos
definidos paraque sean corregidas debidamente.
Contenido de la unidad:
Concepto de análisis de riesgos.
Momento y ámbitos del análisis de riesgos.
Actividades del análisis de riesgos.
Relevancia de los procesos de negocio y sus activos.
Definición del equipo involucrado y entrevistas a usuarios.
Análisis técnico de seguridad.
Análisis de seguridad física.
Relevancia de los activos para el análisis deriesgos y resultados.
Capítulo 1. Análisis de riesgos
1.1 Introducción
Son muchos los escenarios que pueden evaluarse en materia de seguridad de la
información y el análisis de riesgos. A continuación presentamos un par de ejemplos,
en los que incluso en ocasiones, es difícil distinguir la ficción de la realidad:
a) Después de 60 segundos de intentos un hacker logra entrar al
sistemade seguridad del Departamento de Defensa de los
Estados Unidos.
¿Usted considera realidad o ficción este
escenario?
Tal vez haya pensado que es una situación que realmente
sucedió, pero sólo estamos citando una escena de la película
“Sword Fish”, por lo tanto en este caso, el que un intruso tenga
acceso no permitido al sistema de información del Departamento
de Defensa, es sólo una ficción.Sin embargo, los escenarios a los que nos enfrentamos
diariamente son cada vez más parecidos a este tipo de ficción. Es
importante actuar en consecuencia y estar conscientes sobre las
posibles fallas de seguridad de la empresa.
Veamos otro caso…
“Sword Fish”
b) Veinticinco días después de detectar una vulnerabilidad en una
aplicación de uso común en la red, un virus es creado paraaprovechar esa debilidad. Catorce días después, es difundido a
través del Internet y por lo tanto miles de computadoras de
muchos usuarios alrededor del mundo que tienen esta aplicación
vulnerable se infectan. ¿Será realidad o ficción si esto fuera
posible?
Claro que estamos ante un caso que aunque piense que no es
posible, es una realidad, ya que sucedió y es la historia de la
creación delvirus tipo gusano conocido como Blaster.
Hoy en día, las vulnerabilidades son explotadas a una velocidad
mucho mayor por aquellas personas cuya intención es dañar los
activos de las empresas. Dicha velocidad implica que debemos
estar más alertas que nunca, no sólo actuando en consecuencia,
sino también previniendo posibles riesgos y problemas de
seguridad.
Gusano “Blaster”
1.2...
Leer documento completo
Regístrate para leer el documento completo.