Tema 1.2
Páginas: 7 (1549 palabras)
Publicado: 17 de octubre de 2011
Riesgos
El área de Tecnologías de Información fue analizada mediante entrevista al Ing. Omar Hash Pereyda, Director de Soporte Técnico, quien permitió dar un recorrido a las instalaciones, asimismo, proporcionó la normatividad autorizada con la que se cuenta, se realizó un análisis del área y basándonos en la experiencia de trabajo en diferentes áreas de TI en la actualidad en el área desistemas de la H. Cámara de Diputados se detectaron los siguientes riesgos:
Tabla 2.4. Lógicos
Riesgo | Probabilidad | Impacto |
Caída de la red | Media | Alto |
Caída de servicios de producción | Media | Bajo |
Extracción, modificación y destrucción de información confidencial | Baja | Alto |
Uso inadecuado de las instalaciones | Alta | Media |
Ataques de virus informáticos| Alta | Alto |
Fuga de información | Media | Alto |
Inadecuados controles de acceso lógicos | Baja | Alto |
Pérdida de información | Baja | Medio |
Falta de disponibilidad de aplicaciones críticas | Baja | Alto |
Descontrol del personal | Medio | Bajo |
Tabla 2.5. Físicos
Riesgo | Probabilidad | Impacto |
Inadecuados controles de acceso físico | Alta | Bajo|
Vulnerabilidad | Media | Alto |
Incendio | Baja | Alto |
Robo | Media | Alto |
Desastres naturales | Baja | Alto |
Teniendo en cuenta que una de las principales causas de los problemas dentro del área de sistemas, es la inadecuada administración de riesgos informáticos, se debe hacer una buena administración de riesgos, basándose en los siguientes aspectos:
* Laevaluación de los riesgos inherentes a los procesos informáticos.
* La evaluación de las amenazas ó causas de los riesgos.
* Los controles utilizados para minimizar las amenazas a riesgos.
* La asignación de responsables a los procesos informáticos.
* La evaluación de los elementos del análisis de riesgos.
Vulnerabilidades
Son errores que permiten realizar desde afuera actos sin permisodel administrador del equipo, incluso se puede suplantar al usuario, actualmente, ya hay muchas amenazas que tratan de accesar remotamente a los ordenadores, ya sea para hacerlos servidores ilegales de Spam o para robar información, de los agujeros más famosos está el LSASS y el de SVSHOST, de los cuales el Sasser y Blaster se diseminaron rápidamente.
Blaster, (o también llamado Lovsan oLoveSan) es un gusano de red de Windows que se aprovecha de una vulnerabilidad en el servicio DCOM para infectar a otros sistemas de forma automática.
El gusano fue detectado y liberado el día 11 de agosto de 2003. La tasa de infecciones aumentó considerablemente hasta el día 13 de agosto de 2003. Gracias al filtrado por los ISP's (proveedores de servicios de Internet) y la gran publicidad frente estegusano, la infección pudo frenarse.
El 29 de agosto de 2003, Jeffrey Lee Parson, de 18 años de Hopkins, Minnesota fue arrestado por crear la variante B del gusano Blaster; admitió ser el responsable y fue sentenciado a 18 meses en prisión en enero de 2005.
Políticas de Seguridad de Información
Hoy es imposible hablar de un sistema cien por cien seguros, sencillamente porque el costo dela seguridad total es muy alto. Por eso las empresas, en general, asumen riesgos: deben optar entre perder un negocio o arriesgarse a ser hackeadas.
La cuestión es que, en algunas organizaciones puntuales, tener un sistema de seguridad muy acotado les impediría hacer más negocios. "Si un Hacker quiere gastar cien mil dólares en equipos para descifrar una encriptación, lo puede hacer porque esimposible de controlarlo. Y en tratar de evitarlo se podrían gastar millones de dólares".
La solución a medias, entonces, sería acotar todo el espectro de seguridad, en lo que hace a plataformas, procedimientos y estrategias. De esta manera se puede controlar todo un conjunto de vulnerabilidades, aunque no se logre la seguridad total. Y esto significa ni más ni menos que un gran avance con...
El área de Tecnologías de Información fue analizada mediante entrevista al Ing. Omar Hash Pereyda, Director de Soporte Técnico, quien permitió dar un recorrido a las instalaciones, asimismo, proporcionó la normatividad autorizada con la que se cuenta, se realizó un análisis del área y basándonos en la experiencia de trabajo en diferentes áreas de TI en la actualidad en el área desistemas de la H. Cámara de Diputados se detectaron los siguientes riesgos:
Tabla 2.4. Lógicos
Riesgo | Probabilidad | Impacto |
Caída de la red | Media | Alto |
Caída de servicios de producción | Media | Bajo |
Extracción, modificación y destrucción de información confidencial | Baja | Alto |
Uso inadecuado de las instalaciones | Alta | Media |
Ataques de virus informáticos| Alta | Alto |
Fuga de información | Media | Alto |
Inadecuados controles de acceso lógicos | Baja | Alto |
Pérdida de información | Baja | Medio |
Falta de disponibilidad de aplicaciones críticas | Baja | Alto |
Descontrol del personal | Medio | Bajo |
Tabla 2.5. Físicos
Riesgo | Probabilidad | Impacto |
Inadecuados controles de acceso físico | Alta | Bajo|
Vulnerabilidad | Media | Alto |
Incendio | Baja | Alto |
Robo | Media | Alto |
Desastres naturales | Baja | Alto |
Teniendo en cuenta que una de las principales causas de los problemas dentro del área de sistemas, es la inadecuada administración de riesgos informáticos, se debe hacer una buena administración de riesgos, basándose en los siguientes aspectos:
* Laevaluación de los riesgos inherentes a los procesos informáticos.
* La evaluación de las amenazas ó causas de los riesgos.
* Los controles utilizados para minimizar las amenazas a riesgos.
* La asignación de responsables a los procesos informáticos.
* La evaluación de los elementos del análisis de riesgos.
Vulnerabilidades
Son errores que permiten realizar desde afuera actos sin permisodel administrador del equipo, incluso se puede suplantar al usuario, actualmente, ya hay muchas amenazas que tratan de accesar remotamente a los ordenadores, ya sea para hacerlos servidores ilegales de Spam o para robar información, de los agujeros más famosos está el LSASS y el de SVSHOST, de los cuales el Sasser y Blaster se diseminaron rápidamente.
Blaster, (o también llamado Lovsan oLoveSan) es un gusano de red de Windows que se aprovecha de una vulnerabilidad en el servicio DCOM para infectar a otros sistemas de forma automática.
El gusano fue detectado y liberado el día 11 de agosto de 2003. La tasa de infecciones aumentó considerablemente hasta el día 13 de agosto de 2003. Gracias al filtrado por los ISP's (proveedores de servicios de Internet) y la gran publicidad frente estegusano, la infección pudo frenarse.
El 29 de agosto de 2003, Jeffrey Lee Parson, de 18 años de Hopkins, Minnesota fue arrestado por crear la variante B del gusano Blaster; admitió ser el responsable y fue sentenciado a 18 meses en prisión en enero de 2005.
Políticas de Seguridad de Información
Hoy es imposible hablar de un sistema cien por cien seguros, sencillamente porque el costo dela seguridad total es muy alto. Por eso las empresas, en general, asumen riesgos: deben optar entre perder un negocio o arriesgarse a ser hackeadas.
La cuestión es que, en algunas organizaciones puntuales, tener un sistema de seguridad muy acotado les impediría hacer más negocios. "Si un Hacker quiere gastar cien mil dólares en equipos para descifrar una encriptación, lo puede hacer porque esimposible de controlarlo. Y en tratar de evitarlo se podrían gastar millones de dólares".
La solución a medias, entonces, sería acotar todo el espectro de seguridad, en lo que hace a plataformas, procedimientos y estrategias. De esta manera se puede controlar todo un conjunto de vulnerabilidades, aunque no se logre la seguridad total. Y esto significa ni más ni menos que un gran avance con...
Leer documento completo
Regístrate para leer el documento completo.