Seguridad computacional analisis de riesgo
Páginas: 8 (1884 palabras)
Publicado: 6 de diciembre de 2011
Instituto Tecnológico de Zacatepec Lic. en Informática Seguridad Computacional Trabajo de Investigación Unidad IV
García Valerio Luis Ángel Ramírez Barrón Aidee Marisol
NOTA: El trabajo debe basarse en los siguientes puntos y debe desarrollarse en equipos de tres personas. No se aceptarán copias, puesto que automáticamente el trabajo será anulado.
1. Defina el concepto de riesgo Es unaamenaza que puede ocasionar pérdidas o daños de manera parcial o total, ya sea a la información o al equipo de cómputo. 2. ¿Qué es el análisis de riesgos? Se refiere a considerar los riesgos o amenazas que pueden afectar la seguridad lógica o física, así como también tomar en cuenta las causas que los provocan y las consecuencias que traen. 3. ¿Qué es una contingencia? Es un hecho o situación deemergencia 4. ¿A qué se refiere la planificación de contingencias? Se refiere a la serie de pasos que deben de seguirse cuando ocurra algún desastre o situación de emergencia que pueda afectar tanto de manera lógica como de manera física al sistema. 5. Investigue y/o proponga una metodología de análisis de riesgo en sistemas informáticos. Propuesta de metodología para un análisis de riesgo: I.Entrevistar al personal que labora en el área o centro de cómputo para detectar los posibles riesgos o amenazas que puedan ocasionar algún daño tanto a nivel de software como a nivel de hardware. II. Analizar los riesgos o amenazas que se obtuvieron de las entrevistas y detectar las causas que los provocan así como la probabilidad de que puedan ocurrir y determinar el impacto que pueden ocasionar.III. Con el análisis anterior clasificar y ordenar los riesgos o amenazas dependiendo de su grado de probabilidad de ocurrencia y del impacto que ocasionan. IV. Proponer estrategias de solución para los riesgos y amenazas tomando en cuenta las políticas y estándares de la organización. V. Tomando en cuenta las estrategias propuestas anteriormente, establecer los procedimientos que deben deseguirse en caso de que ocurra cada una de las amenazas que se plantearon anteriormente, haciendo énfasis en las actividades que se requieren hacer, los roles y las responsabilidades de las personas encargadas de llevarlas a cabo. 6. ¿Qué es una norma? Es una regla o lineamiento que estable el comportamiento, las actividades o la manera de cómo se deben de realizar una acción. 7. ¿Qué normas existen enel contexto de la seguridad informática? La norma ISO/IEC 27001: Especifica los requisitos para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información. Serie 27000: ISO 27000: Descripción general y vocabulario a ser empleado en toda la serie 27000.
UNE-ISO/IEC 27001:2007: Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de laInformación. Los SGSIs deberán ser certificados por auditores externos a las organizaciones. ISO 27002: Describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles. ISO 27003: Guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. ISO27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados. ISO 27005: Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. ISO 27006: Especifica los requisitos para acreditación deentidades de auditoría y certificación de sistemas de gestión de seguridad de la información.
8. Prepare un ensayo-resumen referente a la norma ISO 17799 ISO/IEC 17799 es una norma internacional que ofrece recomendaciones para la gestión de la seguridad de la información, dirigidos a los responsables a iniciar, implantar o mantener la seguridad de los sistemas de información. Su objetivo es...
García Valerio Luis Ángel Ramírez Barrón Aidee Marisol
NOTA: El trabajo debe basarse en los siguientes puntos y debe desarrollarse en equipos de tres personas. No se aceptarán copias, puesto que automáticamente el trabajo será anulado.
1. Defina el concepto de riesgo Es unaamenaza que puede ocasionar pérdidas o daños de manera parcial o total, ya sea a la información o al equipo de cómputo. 2. ¿Qué es el análisis de riesgos? Se refiere a considerar los riesgos o amenazas que pueden afectar la seguridad lógica o física, así como también tomar en cuenta las causas que los provocan y las consecuencias que traen. 3. ¿Qué es una contingencia? Es un hecho o situación deemergencia 4. ¿A qué se refiere la planificación de contingencias? Se refiere a la serie de pasos que deben de seguirse cuando ocurra algún desastre o situación de emergencia que pueda afectar tanto de manera lógica como de manera física al sistema. 5. Investigue y/o proponga una metodología de análisis de riesgo en sistemas informáticos. Propuesta de metodología para un análisis de riesgo: I.Entrevistar al personal que labora en el área o centro de cómputo para detectar los posibles riesgos o amenazas que puedan ocasionar algún daño tanto a nivel de software como a nivel de hardware. II. Analizar los riesgos o amenazas que se obtuvieron de las entrevistas y detectar las causas que los provocan así como la probabilidad de que puedan ocurrir y determinar el impacto que pueden ocasionar.III. Con el análisis anterior clasificar y ordenar los riesgos o amenazas dependiendo de su grado de probabilidad de ocurrencia y del impacto que ocasionan. IV. Proponer estrategias de solución para los riesgos y amenazas tomando en cuenta las políticas y estándares de la organización. V. Tomando en cuenta las estrategias propuestas anteriormente, establecer los procedimientos que deben deseguirse en caso de que ocurra cada una de las amenazas que se plantearon anteriormente, haciendo énfasis en las actividades que se requieren hacer, los roles y las responsabilidades de las personas encargadas de llevarlas a cabo. 6. ¿Qué es una norma? Es una regla o lineamiento que estable el comportamiento, las actividades o la manera de cómo se deben de realizar una acción. 7. ¿Qué normas existen enel contexto de la seguridad informática? La norma ISO/IEC 27001: Especifica los requisitos para establecer, implantar, mantener y mejorar un Sistema de Gestión de la Seguridad de la Información. Serie 27000: ISO 27000: Descripción general y vocabulario a ser empleado en toda la serie 27000.
UNE-ISO/IEC 27001:2007: Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de laInformación. Los SGSIs deberán ser certificados por auditores externos a las organizaciones. ISO 27002: Describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles. ISO 27003: Guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. ISO27004: Especifica las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados. ISO 27005: Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. ISO 27006: Especifica los requisitos para acreditación deentidades de auditoría y certificación de sistemas de gestión de seguridad de la información.
8. Prepare un ensayo-resumen referente a la norma ISO 17799 ISO/IEC 17799 es una norma internacional que ofrece recomendaciones para la gestión de la seguridad de la información, dirigidos a los responsables a iniciar, implantar o mantener la seguridad de los sistemas de información. Su objetivo es...
Leer documento completo
Regístrate para leer el documento completo.