Académique Documents
Professionnel Documents
Culture Documents
Anlisis de riesgo
El anlisis de riesgo es desarrollado con el propsito de determinar cuales de los
activos tienen mayor vulnerabilidad ante factores externos o internos que puedan
afectarlos, identificando las causas potenciales que faciliten o impidan alcanzar los
objetivos, calculando la probabilidad de su ocurrencia, evaluando sus probables
efectos y considerando el grado en que el riesgo puede ser controlado.
Activos del banco
Riesgo
Servidores y
switch
Amenaza
Acceso no autorizado
Corte de luz, UPS
descargado o variaciones de
voltaje
Destruccin de un
componente
Error de configuracin
Factores ambientales
Lmite de vida til
maquinas obsoletas
Mal mantenimiento
Modificacin no autorizada
de datos
Robo
Virus
Base de datos
vulnerabilidad
Robo, modificacin de
informacin
Falta de sistema
Spoofing y sniffing
Transferencia de datos
incorrectos
virus
Software de
aplicacin,
programas y
sistemas
operativos
Acceso no autorizado a
datos
Aplicaciones sin licencia
Error de configuracin
Errores en las funciones de
encriptacin
Falla en el sistema
Mala administracin de
control de acceso
Inconsistencias en los
datos
Falla en la aplicacin
Datos sin backup
Divulgacin de
informacin
Inconsistencias y
redundancia de datos
Incapacidad de
restauracin
Divulgacin de
informacin
Divulgacin de
informacin
Perdida o modificacin
de datos, prdida de
tiempo y productividad
Divulgacin y
modificacin de
informacin
Inconsistencia de datos
Perdida, modificacin o
divulgacin de datos,
prdida de tiempo y
productividad
Modificacin del
software en desarrollo
Multas y problemas con
software legal
Mal funcionamiento de
los sistemas
Problemas en la
recuperacin de
archivos encriptados
Datos errneos e
inestabilidad del
sistema
Divulgacin y
modificacin de
informacin
Backup
Datos de
configuracin,
datos en medio
externos
Administrador de
sistemas
Sistema inestable y de
difcil modificacin
Probabilidad
incremental de
vulnerabilidades y virus
Inestabilidad y mal
funcionamiento del
sistema
Virus
Probabilidad incremental de vulnerabilidades
Copia no autorizada a un
Robo de informacin
medio de datos
Errores de software
Error en la generacin o
en la copia de backups
Falla en medio externos
Perdida de la
informacin
Falta de espacio de
Falla en la generacin
almacenamiento
de backups
Robo
Incapacidad de
restaurarlos y
divulgacin de la
informacion
Virus
Perdida de datos de
backup
Copia no autorizada de un
Robo de informacion
medio de datos
Fallas en medios externos
Perdida de datos en
medios externos
Mala integridad de los datos Prdida de tiempo y
productividad por falla
de datos
Medios de datos no estn
Falta de datos
disponibles cuando son
necesarios
Perdida de datos en transito Divulgacin de datos
Spoofing y sniffing
Divulgacin y
modificacin de
informacin
virus
Perdida, modificacin o
divulgacin de datos,
prdida de tiempo y
productividad
Administracin impropia del
Asignacin de
sistema de IT
responsabilidades
(departamento de
sistemas)
(responsabilidades y roles
del personal de sistemas)
Almacenamiento de
passwords negligente
Errores de configuracin y
operacin del sistema
Fallas de auditoria en
sistema operativo
Red
Abusos de puertos
Ausencia o falta de
segmentacin
Configuracin inadecuada
de componentes de red
Fallas en la MAN
Transporte inseguro de
archivos
Sincronizacin de tiempo
inadecuada
Conexiones todava activas
Usuarios
Acceso no autorizado a
datos
Borrado, modificacin sin
impropia
Divulgacin de
password uso indebido
de derechos de
usuarios
Divulgacin de
mensajes, uso del
servidor para enviar
spam
Inestabilidad del
sistema, reduccin de la
performance y aumento
de las vulnerabilidades
Imposibilidad del
seguimiento de usuarios
y de la generacin d e
reportes
No se analizan los logs
Distribucin de los
permisos y de las
cuentas de
administrador
Posibles intrusiones y
robo o robos de
informacin
Tramos de red extensos
y dificultades en la
comunicacin
Errores de transmisin,
interrupcin del sistema
de red
Una o ms sucursales
incomunicadas
Divulgacin de
informacin
Inconsistencia de datos
Intrusin de usuarios no
autorizados al sistema
Divulgacin o robo de
informacin
Inconsistencia de datos
autorizacin
Documentacin deficiente
Falta de cuidado en el
manejo de la informacin
(Ej. password)
Ingeniera social ingeniera
social inversa
Mal uso de derechos de
administrador (sesiones
abiertas)
Perdida de confidencialidad
o integridad de datos
Hardware
(teclados, monitor,
unidades de
disco, medios
removibles, etc.)
Mal mantenimiento
Robo
Insumos (cintas,
cartuchos de tinta,
toner, papel,
formularios, etc.)
Factores ambientales
Lmite de vida til
Recursos escasos
Uso descontrolado de
recursos
o datos faltantes
Mayor probabilidad de
errores por falta de
instrucciones
Robo de equipos o
insumos, divulgacin de
datos
Falta de concientizacin
sobre responsabilidades
y seguridad
Robo o modificacin de
informacin
Divulgacin de datos
Sabotaje interno
Robo o modificacin de
informacin
Interrupcin del
funcionamiento de
equipos
Interrupcin de la tarea
del usuario
Avera de equipos
Avera de equipos e
incremento en el costo
de equipamiento
Avera de equipos
Perdida de
equipamiento e
interrupcin de la tarea
del usuario
Destruccin de insumos
Destruccin o averas
de insumos
Interrupcin en el
funcionamiento normal
del banco
Incremento no
justificado del gasto de
insumos
Robo
Datos de usuarios
Perdida de insumos e
incremento en el gasto
Retraso en las
actividades
Perdida de datos del
usuario
Divulgacin de
informacin
Perdida de informacin
Divulgacin,
modificacin y robo de
informacin
Prdida de tiempo y
productividad
Falta de espacio de
almacenamiento
Perdida de backups
Perdida de confidencialidad
en datos privados
Robo
Spoofing o sniffing
Virus
b. Planificacin de riesgos
Activo
Servidores
switch
Riesgo
y Acceso no autorizado
Corte
de
luz,
UPS
descargado o variaciones de
voltaje
Destruccin
de
un
componente
Error de configuracin
Factores ambientales
Base de datos
Planificacin
Implementar polticas
Aseguramiento en la
seguridad fsica
Destruir completamente
los componentes
Contratar especialistas
en la materia
Infraestructura
adecuada
para
resguardar los datos
Establecer la vida til de
los materiales
Mantenimiento
por
personal capacitado
Antivirus
Virus
Baja de datos compleja
Copia no autorizada de un Divulgacin
de
medio de datos
informacin
Errores de software
Inconsistencias en los
datos
Fallas de base de datos
Inconsistencias en los
datos
Falta
de
espacio
de Falla en la aplicacin
almacenamiento
Mala
configuracin
del
schedule de backups
Perdida de confidencialidad
en datos privados y de
sistema
Mala integridad de los datos
Software
aplicacin,
programas
sistemas
operativos
de
Inconsistencias
y
redundancia de datos
Perdida de backups
Incapacidad
de
restauracin
Portapapeles, impresoras o Divulgacin
de
directorios compartidos
informacin
robo
Divulgacin
de
informacin
Sabotaje
Perdida o modificacin
de datos, prdida de
tiempo y productividad
Spoofing y sniffing
Divulgacin
y
modificacin
de
informacin
Transferencia
de
datos Inconsistencia de datos
incorrectos
virus
Perdida, modificacin o
divulgacin de datos,
prdida de tiempo y
productividad
de Acceso no autorizado a Modificacin
del
datos
software en desarrollo
Multas y problemas con
y Aplicaciones sin licencia
software legal
Error de configuracin
Mal funcionamiento de
los sistemas
Errores en las funciones de Problemas
en
la
encriptacin
recuperacin
de
archivos encriptados
Falla en el sistema
Datos
errneos
e
inestabilidad
del
sistema
Mala
administracin
de Divulgacin
y
control de acceso
modificacin
de
informacin
Poca adaptacin a cambios Sistema inestable y de
de sistema
difcil modificacin
Prueba
de
software Probabilidad
deficiente
Software desactualizado
Backup
Datos
de
configuracin,
datos en medio
externos
Administrador de
sistemas
(departamento de
sistemas)
incremental
de
vulnerabilidades y virus
Inestabilidad
y
mal
funcionamiento
del
sistema
Virus
Probabilidad incremental de vulnerabilidades
Copia no autorizada a un Robo de informacin
medio de datos
Errores de software
Error en la generacin o
en la copia de backups
Falla en medio externos
Perdida
de
la
informacin
Falta
de
espacio
de Falla en la generacin
almacenamiento
de backups
Robo
Incapacidad
de
restaurarlos
y
divulgacin
de
la
informacion
Virus
Perdida de datos de
backup
Copia no autorizada de un Robo de informacion
medio de datos
Fallas en medios externos
Perdida de datos en
medios externos
Mala integridad de los datos Prdida de tiempo y
productividad por falla
de datos
Medios de datos no estn Falta de datos
disponibles
cuando
son
necesarios
Perdida de datos en transito Divulgacin de datos
Spoofing y sniffing
Divulgacin
y
modificacin
de
informacin
virus
Perdida, modificacin o
divulgacin de datos,
prdida de tiempo y
productividad
Administracin impropia del Asignacin
de
sistema
de
IT responsabilidades
(responsabilidades y roles impropia
del personal de sistemas)
Almacenamiento
de Divulgacin
de
passwords negligente
Errores de configuracin y
operacin del sistema
Fallas de auditoria
sistema operativo
Red
Usuarios
en
instrucciones
Entrada sin autorizacin a Robo de equipos o
habitaciones
insumos, divulgacin de
datos
Falta de auditorias
Falta de concientizacin
sobre responsabilidades
y seguridad
Falta de cuidado en el Robo o modificacin de
manejo de la informacin informacin
(Ej. password)
Ingeniera social ingeniera Divulgacin de datos
social inversa
Mal uso de derechos de Sabotaje interno
administrador
(sesiones
abiertas)
Perdida de confidencialidad Robo o modificacin de
o integridad de datos
informacin
Hardware
(teclados, monitor,
unidades
de
disco,
medios
removibles, etc.)
Corte
de
luz,
UPS
descargado o variaciones de
voltaje
Destruccin
o
mal
funcionamiento
de
un
componente
Factores ambientales
Lmite de vida til
Mal mantenimiento
Robo
Interrupcin
del
funcionamiento
de
equipos
Interrupcin de la tarea
del usuario
Avera de equipos
Avera de equipos e
incremento en el costo
de equipamiento
Avera de equipos
Perdida
de
equipamiento
e
interrupcin de la tarea
del usuario
Destruccin de insumos
Destruccin o averas
de insumos
Interrupcin
en
el
funcionamiento normal
del banco
de Incremento
no
justificado del gasto de
insumos
Perdida de insumos e
incremento en el gasto
Datos de usuarios
Falta
de
espacio
almacenamiento
Perdida de backups
de Retraso
en
las
actividades
Perdida de datos del
usuario
Perdida de confidencialidad Divulgacin
de
en datos privados
informacin
Robo
Perdida de informacin
Spoofing o sniffing
Divulgacin,
modificacin y robo de
informacin
Virus
Prdida de tiempo y
productividad
La planificacin de riesgo
c. MAGERIT metodologa de anlisis y gestin de riesgos de los sistemas de
informacin
d. Calculo de nivel de riesgo
e. Identificacin del riesgo, utilizando
I.
Mtodo Delphi
II.
Arboles de fallos eventos
III.
Anlisis probabilistico de seguridad
IV. Entrevistas, encuestas, FODA
f. Determinar niveles de aceptacin de riesgos
Sistema operativo
El Sistema Operativo es un conjunto de programas que administran los
recursos de la computadora y controlan su funcionamiento.
Un Sistema Operativo realiza cinco funciones bsicas: Suministro de Interfaz al
Usuario, Administracin de Recursos, Administracin de Archivos,
Administracin de Tareas y Servicio de Soporte.
1) Suministro de interfaz al usuario: Permite al usuario comunicarse con
la computadora por medio de interfaces que se basan en comandos,
interfaces que utilizan mens, e interfaces grficas de usuario.
2) Administracin de recursos: Administran los recursos del hardware
como la CPU, memoria, dispositivos de almacenamiento secundario y
perifricos de entrada y de salida.
3) Administracin de archivos: Controla la creacin, borrado, copiado y
acceso de archivos de datos y de programas.
4) Administracin de tareas: Administra la informacin sobre los
programas y procesos que se estn ejecutando en la computadora.
Puede cambiar la prioridad entre procesos, concluirlos y comprobar el
uso de estos en la CPU, as como terminar programas.
5) Servicio de soporte: Los Servicios de Soporte de cada sistema
operativo dependen de las implementaciones aadidas a este, y pueden
consistir en inclusin de utilidades nuevas, actualizacin de versiones,
mejoras de seguridad, controladores de nuevos perifricos, o correccin
de errores de software.
Software de Sistema
Se llama Software de Sistema o Software de Base al conjunto de programas
que sirven para interactuar con el sistema, confiriendo control sobre el
hardware, adems de dar soporte a otros programas.
El Software de Sistema se divide en:
Controladores de Dispositivos
Los Controladores de Dispositivos son programas que permiten a otros
programas de mayor nivel como un sistema operativo interactuar con un
dispositivo de hardware.
Programas Utilitarios
Los Programas Utilitarios realizan diversas funciones para resolver problemas
especficos, adems de realizar tareas en general y de mantenimiento. Algunos
se incluyen en el sistema operativo.
Software de Aplicacin
El Software de Aplicacin son los programas diseados para o por los usuarios
para facilitar la realizacin de tareas especficas en la computadora, como
pueden ser las aplicaciones ofimticas (procesador de texto, hoja de clculo,
programa de presentacin, sistema de gestin de base de datos...), u otros
tipos de software especializados como software mdico, software educativo,
editores de msica, programas de contabilidad, etc.
Software de Programacin
El Software de Programacin es el conjunto de herramientas que permiten al
desarrollador informtico escribir programas usando diferentes alternativas y
lenguajes de programacin.
Este tipo de software incluye principalmente compiladores, intrpretes,
ensambladores, enlazadores, depuradores, editores de texto y un entorno de
desarrollo integrado que contiene las herramientas anteriores, y normalmente
cuenta una avanzada interfaz grfica de usuario (GUI).
d. Control de proyectos
La necesidad de hacer una revisin permanente de la ejecucin de las actividades
programadas del proyecto lleva a definir un sistema de control que posibilite medir
el avance fsico y el uso de recursos humanos, materiales y financieros, as como
la relacin entre el tiempo y el costo. Se define como control, al proceso de
comparar la realizacin real del proyecto con la planificada, analizando las
variaciones existentes entre ambas, evaluando las posibles alternativas, y
tomando las acciones o medidas correctoras apropiadas segn se necesiten.
e. Instructivos de operacin
De acuerdo al proyecto que se est desarrollando las instrucciones son las
siguientes:
f. Entrevistas a usuarios
g. Controles
El control es una parte muy importante