la presente entrada posibilita a l estudiante participar e integrar mediante comentarios mayores conocimeintos sobre el analisis de riesgos en redes de computadoras
Algunas directrices para seguridad informática y análisis de riesgo:
Los controles directivos.- Son políticas, planes, funciones y objetivos. El desarrollo de las políticas.- Revición de las normas y estándares locales. Amenazas físicas externas.- Consta en prevenir toda amenaza externa como insendio, robos o corte de líneas. Control de accesos adecuado.- Prevenir que los usuarios solo puedan realizar las funciones que se supone que deban realizar, impidiendo algunas como eliminar o modificar archivos. Protección de datos.- Tanto el origen como el proceso y la salida. Comunicaciones y redes.- Se debe tomar en cuenta la topologia, tipo de comunicacion, antivirus, tipos de transaccion, etc. El entorno de producción.- Como el cumplimiento de contratos y despidos.
Una pagina con información referente: http://auditordesistemas.blogspot.com/2012/02/analisis-y-evaluacion-de-riesgos.html
Y unas tablas de asistencia en el análisis de riesgos: http://www.monografias.com/trabajos82/controlinterno-auditoria/c1.jpg http://www.scielo.org.ve/img/fbpe/enl/v6n1/art04tab2.gif
se identifica los riesgos y las vulnerabilidades, se puede considerar cuatro tipos de respuesta defensiva:
Medidas de protección: Estas son actividades diseñadas para reducir las posibilidades de que ocurra un evento dañino; un ejemplo son las cámaras de seguridad, para identificar visitantes no autorizados y avisar a las autoridades antes de que puedan causar algún daño.
Medidas de mitigación: Estas actividades están diseñadas para minimizar la gravedad de un evento, una vez que ha ocurrido. Dos ejemplos son los supresores de sobretensiones, para reducir el impacto de la caída de un rayo, y los sistemas de energía ininterrumpida, que reducen las posibilidades de que los sistemas críticos dejen de funcionar abruptamente debido a un apagón o a un bajón de voltaje.
Actividades de recuperación: Estas actividades sirven para traer de vuelta sistemas e infraestructura dañados, hasta un nivel en el que puedan soportar las operaciones de negocios; un ejemplo son los datos críticos almacenados fuera de planta, que pueden ser utilizados para reiniciar las operaciones de negocios hasta un determinado punto en el tiempo.
Planes de contingencia: Estos documentos a nivel de procesos describen lo que puede hacer una organización a raíz de un evento que pueda dañarla; por lo general, se activan sobre la base de la información del equipo de manejo de emergencias.
Fácil y sencillo! Análisis de riesgos en 6 pasos Fase 1. Definir el alcance Fase 2. Identificar los activos Fase 3. Identificar / seleccionar las amenazas Fase 4. Identificar vulnerabilidades y salvaguardas Fase 5. Evaluar el riesgo Fase 6. Tratar el riesgo aqui el link para mas detalles https://www.incibe.es/blogs/post/Empresas/BlogSeguridad/Articulo_y_comentarios/analisis_riesgos_pasos_sencillo
A N Á L I S I S D E L R I E S G O El análisis de riesgo es el proceso encargado de identificar las amenazas y vulnerabilidades, conocer sus efectos e impacto que producen y conocer la probabilidad de que ocurran. La información obtenida por este procedimiento permite identificar los controles de seguridad existentes, calcular vulnerabilidades y evaluar el efecto de las amenazas en cada área vulnerable.
T E R M I N O L O G Í A B Á S I CA * Activos: Es todo aquello con valor para una organización y que necesita protección, en el ámbito. * Riesgo: Un riesgo es la posibilidad de que se presente algún daño o pérdida. * Aceptación del riesgo: Es la decisión de recibir, reconocer, tolerar o admitir un riesgo. * Análisis del riesgo: Uso sistemático de la información disponible para identificar las fuentes y para estimar la frecuencia de que determinados eventos no deseados pueden ocurrir y la magnitud de sus consecuencias. * Manejo del riesgo: Proceso de identificación, control y minimización o eliminación de riesgos de seguridad en los sistemas de información. * Evaluación del riesgo : Comparación de los resultados de un análisis del riesgo. * Vulnerabilidad: Una vulnerabilidad informática es un elemento de un sistema informático que puede ser aprovechado por un atacante para violar la seguridad. * Amenaza: Una acción o situación potencial que tiene la posibilidad de causar daño. * Riesgo residual: Es el nivel de riesgo que queda después de la consideración de todas las medidas necesarias. * Controles: Protocolos y mecanismos de protección que permiten el cumplimiento de las políticas de seguridad de la organización.
A N Á L I S I S C U A N T I T A T I V O El análisis cuantitativo es una técnica de análisis que busca entender el comportamiento de las cosas por medio de modelos estadísticos y técnicas matemáticas para ello se encarga de asignar un valor numérico a las variables, e intenta replicar la realidad matemáticamente.
A N Á L I S I S C U A L I T A T I V O Las métricas asociadas con el impacto causado por la materialización de las amenazas se valoran en términos subjetivos(Impacto Muy Alto, Alto, Medio, Bajo o Muy Bajo).
P A S O S D E L A N Á L I S I S D E R I E S G O El proceso de análisis de riesgo consiste en ocho pasos interrelacionados:
1-Identificación y evaluación de activo 2-Identificar las amenazas correspondientes 3-Identificar las vulnerabilidades 4-Determinar el impacto de la ocurrencia de una amenaza 5-Determinar los controles en el lugar 6-Determinar los riesgos residuales (Conclusiones) 7-Identificar los controles adicionales (Recomendaciones) 8-Preparar el informe del análisis de riesgo
¿Qué es un análisis de riesgo informático? El análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
El proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo total es:
RT (Riesgo Total) = Probabilidad x Impacto Promedio
A partir de esta fórmula determinaremos su tratamiento y después de aplicar los controles podremos obtener el riesgo residual. Como se describe en el BS ISO/IEC 27001:2005, la evaluación del riesgo incluye las siguientes actividades y acciones:
• Identificación de los activos. • Identificación de los requisitos legales y de negocios que son relevantes para la identificación de los activos.
• Valoración de los activos identificados. • Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad. • Identificación de las amenazas y vulnerabilidades importantes para los activos identificados. • Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir. • Cálculo del riesgo. • Evaluación de los riesgos frente a una escala de riesgo preestablecidos.
Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser:
• Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles. • Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo. • Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero. • Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto se acepta.
La gestión hace parte importante como componente principal para el desarrollo de las métricas de seguridad. A continuación se desglosa el análisis de la siguiente forma: • Analizar los intereses sobre información de los principales actores de la empresa. No se confíe de nadie, pero siempre tenga en mano un backup de persona. • Evaluar el impacto de la perdida de información, precio por daño o hacking de equipos o redes. • Establecer el riesgo técnico en el cual se encuentra la organización. Es bueno evaluar todos los equipos. • El súper equipo costoso y súper seguro ''Routers, firewalls, Switch'' no existen, ya que es más que un mito, no interesa cuánto se invierte en seguridad, siempre va a quedar un agujero. • El hacker más peligroso es uno mismo junto con la confianza.
Análisis de riesgos. El análisis de riesgos, como su nombre lo indica, consiste en analizar el sistema de información y su entorno para detectar todos los riesgos que amenazan su estabilidad y su seguridad.
Análisis del riesgo en redes y equipos: La gestión hace parte importante como componente principal para el desarrollo de las métricas de seguridad. A continuación se desglosa el análisis de la siguiente forma:
Analizar los intereses sobre información de los principales actores de la empresa. No se confíe de nadie, pero siempre tenga en mano un backup de persona.
Evaluar el impacto de la perdida de información, precio por daño o hacking de equipos o redes.
Establecer el riesgo técnico en el cual se encuentra la organización. Es bueno evaluar todos los equipos.
El súper equipo costoso y súper seguro ''Routers, firewalls, Switch'' no existen, ya que es más que un mito, no interesa cuánto se invierte en seguridad, siempre va a quedar un agujero.
El hacker más peligroso es uno mismo junto con la confianza.
Amenazas
Las amenazas informáticas son los problemas más vulnerables que ingresan a nuestra computadora con el hecho de afectarlo (virus), estás son algunos tipos de amenazas:
RFC describe diversos aspectos del funcionamiento de Internet y otras redes de computadoras. El RFC 1244 lista los siguientes recursos de red que deben ser considerados al estimar las amenazas a la seguridad general:
1.HARDWARE: procesadores, tarjetas, teclados, terminales, líneas de comunicación, enrutadores, etc.
2.SOFTWARE: programas fuente, programas objeto, utilerías, programas de comunicación, sistemas operativos, etc.
3.DATOS: durante la ejecución, almacenados en línea, bitácoras de auditoría, bases de datos, en tránsito sobre medios de comunicación, etc.
4.GENTE: usuarios, personas para operar sistemas.
5.DOCUMENTACIÓN: sobre programas, hardware, sistemas, procedimientos administrativos locales.
Análisis de Riesgo El propósito de un análisis es el de identificar los riesgos de una red, los recursos de red y los datos. Esto no significa que se debe de identificar cada posible punto de entrada a la red, o cada uno de los posibles medios de ataque. Es la finalidad del análisis de riesgos el identificar porciones de red, asignar una calificación de riesgo a cada porción y aplicar los niveles de seguridad apropiados. Es decir, • ¿Qué se necesita proteger? • ¿De quién debe de protegerlo? • ¿Cómo debe de protegerlo? Con el fin de hacer esto, es necesario asignar a cada uno de los recursos de red uno de los siguientes niveles de riesgos Niveles de Riesgo Los recursos que deben ser considerados al estimar las amenazas a la seguridad son solamente seis: Es importante considerar la asignación de un nivel de riesgo a cada una de los siguientes: • Dispositivos centrales de la red • Dispositivos de distribución de red • Dispositivos de acceso a la red • Dispositivos de monitoreo de la red (Monitores SNMP y RMON) • Dispositivos de seguridad de la red (RADIUS y TACACS) • Sistema de correo electrónico • Servidores de archivos • Servidores de impresión • Servidores de aplicaciones de la red (DNS y DHCP) • Servidores de información (Oracle o alguna otra aplicación) • PC de escritorio y otros dispositivos (servidores de impresión separados de la red y maquinas de fax en red). Equipos de red tales como los switches, ruteadores, servidores DNS y servidores DHCP pueden permitir acceso a la red y por lo tanto son dispositivos de mediano o alto riesgo. Una vez que los niveles de seguridad han sido asignados, es necesario identificar los tipos de usuarios del sistema. Existen cinco tipos de usuarios los cuales se consideran los mas comunes:
La identificación de los niveles de riesgo y el tipo de acceso de cada sistema de red, forman las bases de la siguiente matriz de seguridad. La matriz de seguridad proporciona una referencia rápida para cada sistema un punto inicial para medidas de seguridad adicionales tales como una estrategia apropiada para la restricción de acceso a los recursos de red.
Si hablamos de ANÁLISIS DE RIESGO el Factor USUARIO (personal de la empresa) es muy importante
seguridad a nivel de usuario
Todos lo que es recurso humano (persona) en una corporación en general debería al menos tener un acceso mínimo, con las limitaciones correspondientes, a la red. En caso de que un individuo no posea acceso, éste aún debería ser considerado dentro de un informe de autorización. Esto para maximizar las posibilidades de supervisión al interior de la red corporativa. Los datos del usuario deben al menos llenar los siguientes campos: • Nombre y Apellido • Puesto que ocupa en la corporación • Nombre del superior directo que confirme la posición del individuo • Descripción de los recursos a los cuales desea tener acceso y su motivo • Consentimiento de que sus actividades son susceptibles de ser supervisadas en cualquier momento y de que conoce las normas de “buen uso de los recursos” (para lo cual, se le debe dar una copia de tales normas). • Explicaciones breves, pero claras de cómo elegir su contraseña. • Tipo de cuenta • Fecha de caducidad y/o expiración • Datos referentes a los tipos de acceso (sólo lectura, lectura y escritura, sin acceso, acceso limitado, etc.) • Horario de uso (en general). Con respecto a las contraseñas, es importante “revisar” si la contraseña entregada es segura, haciendo correr por ejemplo, un programa (crack) para determinar cuánto se demora en descifrarla. La baja del usuario se realiza cuando un elemento de la organización se aleja o cuando cesa en el cumplimiento de sus actividades por un tiempo determinado (vacaciones, viáticos prolongados, cambio de departamento, etc.). Esta debe ser informada por el o los departamentos correspondientes a la administración de redes, que determina la inhabilitación o eliminación de la cuenta, con las consecuencias que ello significa (respaldo o eliminación de la información, directorios y archivos de la cuenta).
El principal factor de riesgo en una corporación es el factor humano. Como recurso siempre resultará indispensable, y la seguridad de una red dependerá siempre de cómo evaluar correctamente su grado de responsabilidad en el uso de la red. Dentro de todo procedimiento, los niveles de responsabilidad de cada miembro deben ser considerados a la hora de emitir un juicio de quién debe usar un determinado recurso de la red y de qué manera. Y por sobre todo, siempre mantener un control constante del uso de los recursos de la red, para así evitar su colapso o la pérdida de su funcionalidad. Tener conocimiento de cuáles son las características de cada recurso (ya sea humano o máquina), controlar sus limitaciones, estar preparado para eventuales ataques y problemas internos, contar con las herramientas adecuadas y mantener supervisión constante de los recursos de la red son la clave de todo buen estudio de seguridad y análisis de riesgo en una red corporativa.
Herramientas para el análisis y gestión de riesgos. Cramm es la metodología de análisis de riesgos desarrollado por el Centro de Informática y la Agencia Nacional de Telecomunicaciones (CCTA ) del gobierno del Reino Unido. El significado del acrónimo proviene de CCTARisk Analysis and Management Method. Su versión inicial data de 1987 y la versión vigente es la 5.2. CRAMM es aplicable a todo tipo de sistemas y redes de información y se puede aplicar en todas las etapas del ciclo de vida del sistema de información, desde la planificación y viabilidad, a través del desarrollo e implementación del mismo. CRAMM se puede utilizar siempre que sea necesario para identificar la seguridad y/o requisitos de contingencia para un sistema de información o de la red. Se divide en tres etapas: 1)Identificación y valoración de activos 2)De amenazas y evaluación de la vulnerabilidad 3)Contramedidas selección y recomendación
OCTAVE Método de evaluación y de gestión de los riesgos para garantizar la seguridad del sistema informativo, desarrollado por el estándar internacional ISO270001. El núcleo central de OCTAVE es un conjunto de criterios (principios, atributos y resultados) a partir de los cuales se pueden desarrollar diversas metodologías. Octave Tiene dos objetivos específicos que son: - Desmitificar la falsa creencia: La Seguridad Informática es un asunto meramente técnico. - Presentar los principios básicos y la estructura de las mejores prácticas internacionales que guían los asuntos no técnicos.
Magerit Directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza. La Evaluación del riesgo es fundamental para llevar cabo planes de seguridad y de contingencia dentro de la organización, para poder gestionarlos y hacerse riguroso frente a posibles ataques a los datos y la información tanto de la organización, como de los servicios que presta.
es el análisis de riesgo que tiene como propósito determinar los componentes de un sistema que requieren protección, sus vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro, con el fin de valorar su grado de riesgo.
en este link esta todo detallado sobre analisis de riesgos
ANALIZANDO LOS RIESGOS DE UNA RED SOCIAL, TALVEZ LA REDES SOCIALES SON UNA SIMPLE DIVERSION PERO MUCHO OJO!!! TIENE SUS RIESGOS. 10 RECOMENDACIONES PARA EL USO SEGURO DE INTERNET Y LAS REDES SOCIALES CON SEGURIDAD. 1.- MALWARE: mantén tu equipo a salvo de software malicioso y no abras mensajes o ficheros extraños. 2 DATOS E INFORMACION PERSONAL: Protege tu información personal .datos e imágenes que te identifiquen tienen un valor que no se debe regalar. 3.-PUBLICACION DE FOTOS Y COMENTARIOS: Sube las imágenes y escribe lo que desees en internet pero asegúrate antes que no moleste a nadie y que no te importe que lo pueda llegar a ver cualquiera. 4.-PROVOCACIONES Y CONFLICTOS: No contestes a las provocaciones. Evita los conflictos . si algo te molesta desconecta y cuénteselo a una persona de confianza . 5.-GESTION DE LA PRIVACIDAD: Configura bien las opciones de privacidad de tus redes sociales es muy importante. 6.-CLAVES: No compartas tu claves. Guárdalos en secreto. Cámbialas de vez en cuando 7.- WEBCAM: La cámara web da mucha información sobre ti. Mide bien con quien la usas, para mayor seguridad mantén tu cámara cubierta. 8.- ESPIRITU CRÍTICO: Piensa que todo lo que ves en la Red no es cierto .cualquiera puede poner cualquiera cosa contrasta la información. 9.-AMIGOS: Mantén cautela si no conoces a la persona que está al otro lado .cuidado con los amigos de los amigos. 10.- CITAS: En ningún caso te cites por primera vez a solas con alguien que hayas conocido en internet.
Como parte del Sistema de Gestión de Seguridad de la Información, es necesario para la empresa hacer una adecuada gestión de riesgos que le permita saber cuáles son las principales vulnerabilidades de sus activos de información y cuáles son las amenazas que podrían explotar las vulnerabilidades. En la medida que la empresa tenga clara esta identificación de riesgos podrá establecer las medidas preventivas y correctivas viables que garanticen mayores niveles de seguridad en su información.
Son muchas las metodologías utilizadas para la gestión de riesgos, pero todas parten de un punto común: la identificación de activos de información, es decir todos aquellos recursos involucrados en la gestión de la información, que va desde datos y hardware hasta documentos escritos y el recurso humano. Sobre estos activos de información es que hace la identificación de las amenazas o riesgos y las vulnerabilidades Una amenaza se puede definir entonces como un evento que puede afectar los activos de información y están relacionadas con el recurso humano. una vulnerabilidad es una característica de un activo de información y que representa un riesgo para la seguridad de la información. Por ejemplo el hecho de tener contraseñas débiles en los sistemas y que la red de datos no esté correctamente protegida puede ser aprovechado para los ataques informáticos externos. Una empresa puede afrontar un riesgo de cuatro formas diferentes: aceptarlo, transferirlo, mitigarlo o evitarlo. Si un riesgo no es lo suficientemente crítico para la empresa la medida de control puede ser Aceptarlo, es decir, ser consciente de que el riesgo existe y hacer un monitoreo sobre él. Si el riesgo representa una amenaza importante para la seguridad de la información se puede tomar la decisión de Transferir o Mitigar el riesgo. La gestión de riesgos debe garantizarle a la empresa la tranquilidad de tener identificados sus riesgos y los controles que le van a permitir actuar ante una eventual materialización o simplemente evitar que se presenten
¿Qué es un análisis de riesgos? Una forma de aumentar conocimientos sobre riesgo en el lugar de trabajo es realizar un análisis de riesgos del trabajo sobre las tareas de los individuos. Un análisis de riesgos del trabajo (JHA) es un procedimiento que lleva a integrar los principios y prácticas de salud y seguridad aceptadas en una operación en particular. Evaluación de riesgos.... En lo que respecta a la alimentación, el riesgo implica un impacto potencial en los consumidores. Los microorganismos infecciosos, las sustancias químicas contaminantes (por ejemplo, los productos de limpieza) o los agentes físicos (como el cristal) entrañan posibles peligros relacionados con los alimentos. A pesar de que se realizan todos los esfuerzos posibles para minimizar los peligros, la seguridad alimentaria no es absoluta y éstos peligros siempre pueden darse. Gestión de riesgos... Los gestores de riesgos dirigen el análisis de riesgos, deciden si la evaluación de un riesgo es necesaria o no para resolver un problema y apoyan a los evaluadores en su trabajo. Una vez realizada la evaluación, los gestores de riesgos se basan en el resultado para decidir qué medidas hay que tomar. Cuando es preciso reducir el riesgo, la gestión de riesgos debe optar por las mejores medidas posibles para lograrlo.
Comunicación de riesgos... En el análisis de riesgos, existen diferentes tipos de comunicación importantes. Los aspectos técnicos se debaten entre gestores, evaluadores y partes interesadas del sector privado. A la hora de decidir cuál es la mejor manera de controlar un riesgo y de ejecutar las decisiones, la comunicación entre los gestores de riesgos y los sectores público y privado es muy importante. Este debate es menos técnico y tiene en cuenta, por ejemplo, puntos de vista éticos, sociales y económicos ¿Qué es análisis de riesgo del trabajo? Una forma de aumentar conocimientos sobre riesgo en el lugar de trabajo es realizar un análisis de riesgos del trabajo sobre las tareas de los individuos. Un análisis de riesgos del trabajo (JHA) es un procedimiento que lleva a integrar los principios y prácticas de salud y seguridad aceptadas en una operación en particular.
¿Cuáles son los beneficios de realizar el análisis de riesgo del trabajo? El método utilizado en este ejemplo es observar a un trabajador desempeñar realmente el trabajo. Las principales ventajas este método incluye que no se basa en la memoria individual y que el proceso acelera el reconocimiento de riesgos. Para trabajos nuevos o desempeñados poco frecuentemente, la observación puede que no sea práctica. Con esto, un enfoque es tener un grupo de trabajadores experimentados y supervisores para que complete el análisis por medio de la discusión
¿Cuáles son los cuatro pasos básicos? Los cuatro pasos básicos para realizar un JHA son: 1: seleccionar el trabajo que se va a analizar. 2: dividir el trabajo en una frecuencia de partes. 3: identificar los riesgos potenciales 4: determinar medidas preventivas para superar estos riesgos
¿Qué es importante conocer cuando "se esta seleccionando el trabajo"? Idealmente, todos los trabajos deben estar sometidos a un JHA. En algunos casos existen limitaciones prácticas debido a la cantidad de tiempo y esfuerzo que se requiere para realizar un JHA. Otra consideración es que JHA recibirá revisión cuando cambie el equipo, la materia prima, los procesos, o el ambiente. Los factores que se deben considerar para asignar una prioridad para análisis de trabajo incluye:
- Frecuencia y gravedad de accidentes: trabajos en donde los accidentes ocurren frecuentemente o no muy frecuentemente pero que resultan en lesiones discapacitantes. - Potencial para lesiones o enfermedades graves: las consecuencias de un accidente, condiciones peligrosas, o exposición a sustancias nocivas son potencialmente graves. - Trabajos recientemente establecidos: debido a la falta de experiencia en nuestros trabajos, los riesgos puede que no sean evidentes o anticipados. - Trabajos modificados: se pueden formar nuevos riesgos con los cambios en los procedimientos de trabajo. - Trabajos desempeñados porco frecuentemente: los trabajadores pueden estar en riesgo mayor cuando realizan trabajos que no son rutinarios, y un JHA brinda un medio de revisar los riesgos.
El análisis de riesgo, también conocido como evaluación de riesgo o PHA por sus siglas en inglés Process Hazards Analysis, es el estudio de las causas de las posibles amenazas y probables eventos no deseados, como lo son daños o consecuencias que éstas puedan producir .
El análisis de los riesgos determinará cuáles son los factores de riesgo que potencialmente tendrían un mayor efecto sobre nuestro proyecto y, por lo tanto, deben ser gestionados por el emprendedor con especial atención. Amenazas está dado por los siguientes componentes:
Análisis del riesgo en redes y equipos: La gestión hace parte importante como componente principal para el desarrollo de las métricas de seguridad. A continuación se desglosa el análisis de la siguiente forma:
Analizar los intereses sobre información de los principales actores de la empresa. No se confíe de nadie, pero siempre tenga en mano un backup de persona.
Evaluar el impacto de la perdida de información, precio por daño o hacking de equipos o redes.
Establecer el riesgo técnico en el cual se encuentra la organización. Es bueno evaluar todos los equipos.
El súper equipo costoso y súper seguro ''Routers, firewalls, Switch'' no existen, ya que es más que un mito, no interesa cuánto se invierte en seguridad, siempre va a quedar un agujero.
El hacker más peligroso es uno mismo junto con la confianza.
Amenazas
Las amenazas informáticas son los problemas más vulnerables que ingresan a nuestra computadora con el hecho de afectarlo (virus), estás son algunos tipos de amenazas:
Amenazas indirectas: Tener el equipo equivocado en el momento equivocado.
Vulnerabilidad
Falencias o brechas representa el grado de exposición a las amenazas en un contexto particular. Dónde están las mayores vulnerabilidades:
Seguridad física Concienciar a los usuarios acerca de los problemas de seguridad. Seguridad lógica Seguridad en las telecomunicaciones.
Capacidades
Son los puntos fuertes y los recursos a los que puede acceder a una empres para lograr un nivel razonable de seguridad.
Precisión en la información
Mantener, enviar y recibir información
Poseer información clave en pocas personas.
Poseer equipo de seguridad a la medida de la empresa y no a la del fabricante
¿Qué puede hacer un hacker en una organización?
Aprovechar la confianza que se tiene sobre la red y los equipos. Tienen en común su deseo de buscar los puntos débiles de una red.
La inseguridad se puede dividir en dos categorías:
Un estado de inseguridad activo: Es decir, la falta de conocimiento del usuario acerca de las funciones del sistema, algunas de las cuales pueden ser dañinas para el sistema (por ejemplo, no desactivar los servicios de red que el usuario no necesita, revisar las ACL de los enrutadores).
Un estado de inseguridad pasivo: Es decir, la falta de conocimiento de las medidas de seguridad disponibles (por ejemplo, cuando el administrador o usuario de un sistema no conocen los dispositivos de seguridad con los que cuentan).
Análisis de Riesgo en Redes Cuando se diseña políticas de seguridad es importante entender que la razón para crearlas es asegurar que los mayores esfuerzos de protección se enfocan a los puntos más importantes de la red. Esto significa que hay que entender que recursos de la red requieren ser protegidos y cuales son más importantes que otros. Además, hay que identificar la fuente de peligro de la cual se están protegiendo los recursos para brindar el tipo de protección que necesitan los recursos. Para iniciar este análisis es necesario que el administrador tome en consideración las respuestas a las siguientes preguntas ¿Cuál es lo que necesita proteger? ¿De qué o quienes necesita proteger a los recursos? Se provee una lista de los recursos que deberían se considerados en la estimación de amenazas: -Hardware -Software -Datos -personas -Documentación -Surministro
Son muchas las metodologías utilizadas para la gestión de riesgos, pero todas parten de un punto común: * La identificación de activos de información, es decir todos aquellos recursos involucrados en la gestión de la información como : datos y hardware hasta documentos escritos y el recurso humano. Sobre estos activos de información es que hace la identificación de las amenazas o riesgos y las vulnerabilidades
Una amenaza se puede definir entonces como un evento que puede afectar los activos de información. *Ejemplos: Ataques informáticos externos Errores u omisiones del personal de la empresa Infecciones con malware. Aunque una amenaza no siempre es por parte del hombre si no tambien de l naturaleza.como por ejemplo los terremotos o fallas electricas :D
El análisis de riesgo es el uso sistemático de la información disponible para determinar la frecuencia con la que determinados eventos se pueden producir y la magnitud de sus consecuencias.
Los riesgos normalmente se definen como eventos negativos, como puede ser la pérdida de dinero en una empresa o una tormenta que genera un gran número de reclamaciones de seguro. Sin embargo, durante el proceso de análisis de riesgo también se pueden descubrir resultados potenciales positivos. Mediante la exploración de todo el espacio de posibles resultados para una situación determinada, un buen análisis de riesgo puede identificar peligros y descubrir oportunidades.
El análisis de riesgo se puede realizar cualitativa y cuantitativamente. El análisis de riesgo cualitativo generalmente incluye la evaluación instintiva o “por corazonada” de una situación, y se caracteriza por afirmaciones como “Eso parece muy arriesgado” o “Probablemente obtendremos buenos resultados”. El análisis de riesgo cuantitativo trata de asignar valores numéricos a los riesgos, utilizando datos empíricos o cuantificando evaluaciones cualitativas. Vamos a concentrarnos en el análisis de riesgo cuantitativo.
Algunas directrices para seguridad informática y análisis de riesgo:
ResponderEliminarLos controles directivos.- Son políticas, planes, funciones y objetivos.
El desarrollo de las políticas.- Revición de las normas y estándares locales.
Amenazas físicas externas.- Consta en prevenir toda amenaza externa como insendio, robos o corte de líneas.
Control de accesos adecuado.- Prevenir que los usuarios solo puedan realizar las funciones que se supone que deban realizar, impidiendo algunas como eliminar o modificar archivos.
Protección de datos.- Tanto el origen como el proceso y la salida.
Comunicaciones y redes.- Se debe tomar en cuenta la topologia, tipo de comunicacion, antivirus, tipos de transaccion, etc.
El entorno de producción.- Como el cumplimiento de contratos y despidos.
Fuente:
http://sandy-gruposandy.blogspot.com/2010/07/unidad-5-auditoria-de-la-seguridad-en.html
Una pagina con información referente:
ResponderEliminarhttp://auditordesistemas.blogspot.com/2012/02/analisis-y-evaluacion-de-riesgos.html
Y unas tablas de asistencia en el análisis de riesgos:
http://www.monografias.com/trabajos82/controlinterno-auditoria/c1.jpg
http://www.scielo.org.ve/img/fbpe/enl/v6n1/art04tab2.gif
PREPARA ANALISIS DE RIESGO
ResponderEliminarse identifica los riesgos y las vulnerabilidades, se puede considerar cuatro tipos de respuesta defensiva:
Medidas de protección: Estas son actividades diseñadas para reducir las posibilidades de que ocurra un evento dañino; un ejemplo son las cámaras de seguridad, para identificar visitantes no autorizados y avisar a las autoridades antes de que puedan causar algún daño.
Medidas de mitigación: Estas actividades están diseñadas para minimizar la gravedad de un evento, una vez que ha ocurrido. Dos ejemplos son los supresores de sobretensiones, para reducir el impacto de la caída de un rayo, y los sistemas de energía ininterrumpida, que reducen las posibilidades de que los sistemas críticos dejen de funcionar abruptamente debido a un apagón o a un bajón de voltaje.
Actividades de recuperación: Estas actividades sirven para traer de vuelta sistemas e infraestructura dañados, hasta un nivel en el que puedan soportar las operaciones de negocios; un ejemplo son los datos críticos almacenados fuera de planta, que pueden ser utilizados para reiniciar las operaciones de negocios hasta un determinado punto en el tiempo.
Planes de contingencia: Estos documentos a nivel de procesos describen lo que puede hacer una organización a raíz de un evento que pueda dañarla; por lo general, se activan sobre la base de la información del equipo de manejo de emergencias.
http://searchdatacenter.techtarget.com/es/tutoriales/Guia-de-evaluacion-de-riesgos-de-TI
Fácil y sencillo! Análisis de riesgos en 6 pasos
Fase 1. Definir el alcance
Fase 2. Identificar los activos
Fase 3. Identificar / seleccionar las amenazas
Fase 4. Identificar vulnerabilidades y salvaguardas
Fase 5. Evaluar el riesgo
Fase 6. Tratar el riesgo
aqui el link para mas detalles
https://www.incibe.es/blogs/post/Empresas/BlogSeguridad/Articulo_y_comentarios/analisis_riesgos_pasos_sencillo
A N Á L I S I S D E L R I E S G O
ResponderEliminarEl análisis de riesgo es el proceso encargado de identificar las amenazas y vulnerabilidades, conocer sus efectos e impacto que producen y conocer la probabilidad de que ocurran.
La información obtenida por este procedimiento permite identificar los controles de seguridad existentes, calcular vulnerabilidades y evaluar el efecto de las amenazas en cada área vulnerable.
T E R M I N O L O G Í A B Á S I CA
* Activos: Es todo aquello con valor para una organización y que necesita protección, en el ámbito.
* Riesgo: Un riesgo es la posibilidad de que se presente algún daño o pérdida.
* Aceptación del riesgo: Es la decisión de recibir, reconocer, tolerar o admitir un riesgo.
* Análisis del riesgo: Uso sistemático de la información disponible para identificar las fuentes y para estimar la frecuencia de que determinados eventos no deseados pueden ocurrir y la magnitud de sus consecuencias.
* Manejo del riesgo: Proceso de identificación, control y minimización o eliminación de riesgos de seguridad en los sistemas de información.
* Evaluación del riesgo : Comparación de los resultados de un análisis del riesgo.
* Vulnerabilidad: Una vulnerabilidad informática es un elemento de un sistema informático que puede ser aprovechado por un atacante para violar la seguridad.
* Amenaza: Una acción o situación potencial que tiene la posibilidad de causar daño.
* Riesgo residual: Es el nivel de riesgo que queda después de la consideración de todas las medidas necesarias.
* Controles: Protocolos y mecanismos de protección que permiten el cumplimiento de las políticas de seguridad de la organización.
A N Á L I S I S C U A N T I T A T I V O
El análisis cuantitativo es una técnica de análisis que busca entender el comportamiento de las cosas por medio de modelos estadísticos y técnicas matemáticas para ello se encarga de asignar un valor numérico a las variables, e intenta replicar la realidad matemáticamente.
A N Á L I S I S C U A L I T A T I V O
Las métricas asociadas con el impacto causado por la materialización de las
amenazas se valoran en términos subjetivos(Impacto Muy Alto, Alto, Medio,
Bajo o Muy Bajo).
P A S O S D E L A N Á L I S I S D E R I E S G O
El proceso de análisis de riesgo consiste en ocho pasos interrelacionados:
1-Identificación y evaluación de activo
2-Identificar las amenazas correspondientes
3-Identificar las vulnerabilidades
4-Determinar el impacto de la ocurrencia de una amenaza
5-Determinar los controles en el lugar
6-Determinar los riesgos residuales (Conclusiones)
7-Identificar los controles adicionales (Recomendaciones)
8-Preparar el informe del análisis de riesgo
{ FUENTE: http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap5.html }
¿Qué es un análisis de riesgo informático?
ResponderEliminarEl análisis de riesgos informáticos es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.
PROCESO DE ANÁLISIS DE RIESGOS INFORMÁTICOS
ResponderEliminarEl proceso de análisis de riesgo genera habitualmente un documento al cual se le conoce como matriz de riesgo. En este documento se muestran los elementos identificados, la manera en que se relacionan y los cálculos realizados. Este análisis de riesgo es indispensable para lograr una correcta administración del riesgo. La administración del riesgo hace referencia a la gestión de los recursos de la organización. Existen diferentes tipos de riesgos como el riesgo residual y riesgo total así como también el tratamiento del riesgo, evaluación del riesgo y gestión del riesgo entre otras. La fórmula para determinar el riesgo total es:
RT (Riesgo Total) = Probabilidad x Impacto Promedio
A partir de esta fórmula determinaremos su tratamiento y después de aplicar los controles podremos obtener el riesgo residual.
Como se describe en el BS ISO/IEC 27001:2005, la evaluación del riesgo incluye las siguientes actividades y acciones:
• Identificación de los activos.
• Identificación de los requisitos legales y de negocios que son relevantes para la identificación de los activos.
• Valoración de los activos identificados.
• Teniendo en cuenta los requisitos legales identificados de negocios y el impacto de una pérdida de confidencialidad, integridad y disponibilidad.
• Identificación de las amenazas y vulnerabilidades importantes para los activos identificados.
• Evaluación del riesgo, de las amenazas y las vulnerabilidades a ocurrir.
• Cálculo del riesgo.
• Evaluación de los riesgos frente a una escala de riesgo preestablecidos.
Después de efectuar el análisis debemos determinar las acciones a tomar respecto a los riesgos residuales que se identificaron. Las acciones pueden ser:
• Controlar el riesgo.- Fortalecer los controles existentes y/o agregar nuevos controles.
• Eliminar el riesgo.- Eliminar el activo relacionado y con ello se elimina el riesgo.
• Compartir el riesgo.- Mediante acuerdos contractuales parte del riesgo se traspasa a un tercero.
• Aceptar el riesgo.- Se determina que el nivel de exposición es adecuado y por lo tanto se acepta.
Análisis del riesgo en redes y equipos:
ResponderEliminarLa gestión hace parte importante como componente principal para el desarrollo de las métricas de seguridad. A continuación se desglosa el análisis de la siguiente forma:
• Analizar los intereses sobre información de los principales actores de la empresa. No se confíe de nadie, pero siempre tenga en mano un backup de persona.
• Evaluar el impacto de la perdida de información, precio por daño o hacking de equipos o redes.
• Establecer el riesgo técnico en el cual se encuentra la organización. Es bueno evaluar todos los equipos.
• El súper equipo costoso y súper seguro ''Routers, firewalls, Switch'' no existen, ya que es más que un mito, no interesa cuánto se invierte en seguridad, siempre va a quedar un agujero.
• El hacker más peligroso es uno mismo junto con la confianza.
fuente:
ResponderEliminarhttp://datateca.unad.edu.co/contenidos/233015/233015Exe/leccin_16_valoracin_y_anlisis_de_riesgos_en_redes.html
Análisis de riesgos. El análisis de riesgos, como su nombre lo indica, consiste en analizar el sistema de información y su entorno para detectar todos los riesgos que amenazan su estabilidad y su seguridad.
ResponderEliminarAnálisis del riesgo en redes y equipos: La gestión hace parte importante como componente principal para el desarrollo de las métricas de seguridad. A continuación se desglosa el análisis de la siguiente forma:
ResponderEliminarAnalizar los intereses sobre información de los principales actores de la empresa. No se confíe de nadie, pero siempre tenga en mano un backup de persona.
Evaluar el impacto de la perdida de información, precio por daño o hacking de equipos o redes.
Establecer el riesgo técnico en el cual se encuentra la organización. Es bueno evaluar todos los equipos.
El súper equipo costoso y súper seguro ''Routers, firewalls, Switch'' no existen, ya que es más que un mito, no interesa cuánto se invierte en seguridad, siempre va a quedar un agujero.
El hacker más peligroso es uno mismo junto con la confianza.
Amenazas
Las amenazas informáticas son los problemas más vulnerables que ingresan a nuestra computadora con el hecho de afectarlo (virus), estás son algunos tipos de amenazas:
Targeting: Amenazas declaradas, amenazas potenciales.
Amenazas por delincuente común.
Amenazas indirectas: Tener el equipo equivocado en el momento equivocado.
Vulnerabilidad
Falencias o brechas representa el grado de exposición a las amenazas en un contexto particular. Dónde están las mayores vulnerabilidades:
Seguridad física
Concienciar a los usuarios acerca de los problemas de seguridad.
Seguridad lógica
Seguridad en las telecomunicaciones.
Capacidades
Son los puntos fuertes y los recursos a los que puede acceder a una empres para lograr un nivel razonable de seguridad.
Precisión en la información
Mantener, enviar y recibir información
Poseer información clave en pocas personas.
Poseer equipo de seguridad a la medida de la empresa y no a la del fabricante
http://datateca.unad.edu.co/contenidos/233015/233015Exe/leccin_16_valoracin_y_anlisis_de_riesgos_en_redes.html
EliminarAl crear una política de seguridad, se debe saber qué recursos de la red vale la pena proteger, y entender que algunos son más importantes que otros.
ResponderEliminarEl análisis de riesgos implica determinar lo siguiente:
• ¿Qué necesita proteger?
• ¿De quién debe protegerlo?
• ¿Cómo protegerlo?
Otros factores que debe considerar para el análisis de riesgo de un recurso de red son su DISPONIBILIDAD, su INTEGRIDAD y su CARÁCTER CONFIDENCIAL.
RFC describe diversos aspectos del funcionamiento de Internet y otras redes de computadoras.
ResponderEliminarEl RFC 1244 lista los siguientes recursos de red que deben ser considerados al estimar las amenazas a la seguridad general:
1.HARDWARE: procesadores, tarjetas, teclados, terminales, líneas de comunicación, enrutadores, etc.
2.SOFTWARE: programas fuente, programas objeto, utilerías, programas de comunicación, sistemas operativos, etc.
3.DATOS: durante la ejecución, almacenados en línea, bitácoras de auditoría, bases de datos, en tránsito sobre medios de comunicación, etc.
4.GENTE: usuarios, personas para operar sistemas.
5.DOCUMENTACIÓN: sobre programas, hardware, sistemas, procedimientos administrativos locales.
6.ACCESORIOS: papel, formas, cintas, información grabada.
Análisis de Riesgo
ResponderEliminarEl propósito de un análisis es el de identificar los riesgos de una red, los recursos de red y los datos. Esto no significa que se debe de identificar cada posible punto de entrada a la red, o cada uno de los posibles medios de ataque.
Es la finalidad del análisis de riesgos el identificar porciones de red, asignar una calificación de riesgo a cada porción y aplicar los niveles de seguridad apropiados. Es decir,
• ¿Qué se necesita proteger?
• ¿De quién debe de protegerlo?
• ¿Cómo debe de protegerlo?
Con el fin de hacer esto, es necesario asignar a cada uno de los recursos de red uno de los siguientes niveles de riesgos
Niveles de Riesgo
Los recursos que deben ser considerados al estimar las amenazas a la seguridad son solamente seis:
Es importante considerar la asignación de un nivel de riesgo a cada una de los siguientes:
• Dispositivos centrales de la red
• Dispositivos de distribución de red
• Dispositivos de acceso a la red
• Dispositivos de monitoreo de la red (Monitores SNMP y RMON)
• Dispositivos de seguridad de la red (RADIUS y TACACS)
• Sistema de correo electrónico
• Servidores de archivos
• Servidores de impresión
• Servidores de aplicaciones de la red (DNS y DHCP)
• Servidores de información (Oracle o alguna otra aplicación)
• PC de escritorio y otros dispositivos (servidores de impresión separados de la red y maquinas de fax en red).
Equipos de red tales como los switches, ruteadores, servidores DNS y servidores DHCP pueden permitir acceso a la red y por lo tanto son dispositivos de mediano o alto riesgo.
Una vez que los niveles de seguridad han sido asignados, es necesario identificar los tipos de usuarios del sistema. Existen cinco tipos de usuarios los cuales se consideran los mas comunes:
La identificación de los niveles de riesgo y el tipo de acceso de cada sistema de red, forman las bases de la siguiente matriz de seguridad. La matriz de seguridad proporciona una referencia rápida para cada sistema un punto inicial para medidas de seguridad adicionales tales como una estrategia apropiada para la restricción de acceso a los recursos de red.
Si hablamos de ANÁLISIS DE RIESGO el Factor USUARIO (personal de la empresa) es muy importante
ResponderEliminarseguridad a nivel de usuario
Todos lo que es recurso humano (persona) en una corporación en general debería al menos tener un acceso mínimo, con las limitaciones correspondientes, a la red. En caso de que un individuo no posea acceso, éste aún debería ser considerado dentro de un informe de autorización. Esto para maximizar las posibilidades de supervisión al interior de la red corporativa. Los datos del usuario deben al menos llenar los siguientes campos:
• Nombre y Apellido
• Puesto que ocupa en la corporación
• Nombre del superior directo que confirme la posición del individuo
• Descripción de los recursos a los cuales desea tener acceso y su motivo
• Consentimiento de que sus actividades son susceptibles de ser supervisadas en cualquier momento y de que conoce las normas de “buen uso de los recursos” (para lo cual, se le debe dar una copia de tales normas).
• Explicaciones breves, pero claras de cómo elegir su contraseña.
• Tipo de cuenta
• Fecha de caducidad y/o expiración
• Datos referentes a los tipos de acceso (sólo lectura, lectura y escritura, sin acceso, acceso limitado, etc.)
• Horario de uso (en general).
Con respecto a las contraseñas, es importante “revisar” si la contraseña entregada es segura, haciendo correr por ejemplo, un programa (crack) para determinar cuánto se demora en descifrarla.
La baja del usuario se realiza cuando un elemento de la organización se aleja o cuando cesa en el cumplimiento de sus actividades por un tiempo determinado (vacaciones, viáticos prolongados, cambio de departamento, etc.). Esta debe ser informada por el o los departamentos correspondientes a la administración de redes, que determina la inhabilitación o eliminación de la cuenta, con las consecuencias que ello significa (respaldo o eliminación de la información, directorios y archivos de la cuenta).
El principal factor de riesgo en una corporación es el factor humano. Como recurso siempre resultará indispensable, y la seguridad de una red dependerá siempre de cómo evaluar correctamente su grado de responsabilidad en el uso de la red. Dentro de todo procedimiento, los niveles de responsabilidad de cada miembro deben ser considerados a la hora de emitir un juicio de quién debe usar un determinado recurso de la red y de qué manera. Y por sobre todo, siempre mantener un control constante del uso de los recursos de la red, para así evitar su colapso o la pérdida de su funcionalidad. Tener conocimiento de cuáles son las características de cada recurso (ya sea humano o máquina), controlar sus limitaciones, estar preparado para eventuales ataques y problemas internos, contar con las herramientas adecuadas y mantener supervisión constante de los recursos de la red son la clave de todo buen estudio de seguridad y análisis de riesgo en una red corporativa.
ResponderEliminarHerramientas para el análisis y gestión de riesgos.
ResponderEliminarCramm es la metodología de análisis de riesgos desarrollado por el Centro de Informática y la Agencia Nacional de Telecomunicaciones (CCTA ) del gobierno del Reino Unido.
El significado del acrónimo proviene de CCTARisk Analysis and Management Method. Su versión inicial data de 1987 y la versión vigente es la 5.2.
CRAMM es aplicable a todo tipo de sistemas y redes de información y se puede aplicar en todas las etapas del ciclo de vida del sistema de información, desde la planificación y viabilidad, a través del desarrollo e implementación del mismo. CRAMM se puede utilizar siempre que sea necesario para identificar la seguridad y/o requisitos de contingencia para un sistema de información o de la red.
Se divide en tres etapas:
1)Identificación y valoración de activos
2)De amenazas y evaluación de la vulnerabilidad
3)Contramedidas selección y recomendación
OCTAVE
Método de evaluación y de gestión de los riesgos para garantizar la seguridad del sistema informativo, desarrollado por el estándar internacional ISO270001.
El núcleo central de OCTAVE es un conjunto de criterios (principios, atributos y resultados) a partir de los cuales se pueden desarrollar diversas metodologías.
Octave Tiene dos objetivos específicos que son:
- Desmitificar la falsa creencia: La Seguridad Informática es un asunto meramente técnico.
- Presentar los principios básicos y la estructura de las mejores prácticas internacionales que guían los asuntos no técnicos.
Magerit
Directamente relacionada con la generalización del uso de las tecnologías de la información, que supone unos beneficios evidentes para los ciudadanos; pero también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que generen confianza.
La Evaluación del riesgo es fundamental para llevar cabo planes de seguridad y de contingencia dentro de la organización, para poder gestionarlos y hacerse riguroso frente a posibles ataques a los datos y la información tanto de la organización, como de los servicios que presta.
buenas noches ingeniero
ResponderEliminares el análisis de riesgo que tiene como propósito determinar los componentes de un sistema que requieren protección, sus vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro, con el fin de valorar su grado de riesgo.
en este link esta todo detallado sobre analisis de riesgos
https://protejete.wordpress.com/gdr_principal/analisis_riesgo/
http://redyseguridad.fi-p.unam.mx/proyectos/tsi/capi/Cap5.html
ANALIZANDO LOS RIESGOS DE UNA RED SOCIAL, TALVEZ LA REDES SOCIALES SON UNA SIMPLE DIVERSION PERO MUCHO OJO!!! TIENE SUS RIESGOS.
ResponderEliminar10 RECOMENDACIONES PARA EL USO SEGURO DE INTERNET Y LAS REDES SOCIALES CON SEGURIDAD.
1.- MALWARE: mantén tu equipo a salvo de software malicioso y no abras mensajes o ficheros extraños.
2 DATOS E INFORMACION PERSONAL: Protege tu información personal .datos e imágenes que te identifiquen tienen un valor que no se debe regalar.
3.-PUBLICACION DE FOTOS Y COMENTARIOS: Sube las imágenes y escribe lo que desees en internet pero asegúrate antes que no moleste a nadie y que no te importe que lo pueda llegar a ver cualquiera.
4.-PROVOCACIONES Y CONFLICTOS: No contestes a las provocaciones. Evita los conflictos . si algo te molesta desconecta y cuénteselo a una persona de confianza .
5.-GESTION DE LA PRIVACIDAD: Configura bien las opciones de privacidad de tus redes sociales es muy importante.
6.-CLAVES: No compartas tu claves. Guárdalos en secreto. Cámbialas de vez en cuando
7.- WEBCAM: La cámara web da mucha información sobre ti. Mide bien con quien la usas, para mayor seguridad mantén tu cámara cubierta.
8.- ESPIRITU CRÍTICO: Piensa que todo lo que ves en la Red no es cierto .cualquiera puede poner cualquiera cosa contrasta la información.
9.-AMIGOS: Mantén cautela si no conoces a la persona que está al otro lado .cuidado con los amigos de los amigos.
10.- CITAS: En ningún caso te cites por primera vez a solas con alguien que hayas conocido en internet.
https://es.m.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo_inform%C3%A1tico
ResponderEliminar¿Qué es y por qué hacer un Análisis de Riesgos?
ResponderEliminarComo parte del Sistema de Gestión de Seguridad de la Información, es necesario para la empresa hacer una adecuada gestión de riesgos que le permita saber cuáles son las principales vulnerabilidades de sus activos de información y cuáles son las amenazas que podrían explotar las vulnerabilidades. En la medida que la empresa tenga clara esta identificación de riesgos podrá establecer las medidas preventivas y correctivas viables que garanticen mayores niveles de seguridad en su información.
Son muchas las metodologías utilizadas para la gestión de riesgos, pero todas parten de un punto común: la identificación de activos de información, es decir todos aquellos recursos involucrados en la gestión de la información, que va desde datos y hardware hasta documentos escritos y el recurso humano. Sobre estos activos de información es que hace la identificación de las amenazas o riesgos y las vulnerabilidades
Una amenaza se puede definir entonces como un evento que puede afectar los activos de información y están relacionadas con el recurso humano.
una vulnerabilidad es una característica de un activo de información y que representa un riesgo para la seguridad de la información. Por ejemplo el hecho de tener contraseñas débiles en los sistemas y que la red de datos no esté correctamente protegida puede ser aprovechado para los ataques informáticos externos.
Una empresa puede afrontar un riesgo de cuatro formas diferentes: aceptarlo, transferirlo, mitigarlo o evitarlo. Si un riesgo no es lo suficientemente crítico para la empresa la medida de control puede ser Aceptarlo, es decir, ser consciente de que el riesgo existe y hacer un monitoreo sobre él. Si el riesgo representa una amenaza importante para la seguridad de la información se puede tomar la decisión de Transferir o Mitigar el riesgo.
La gestión de riesgos debe garantizarle a la empresa la tranquilidad de tener identificados sus riesgos y los controles que le van a permitir actuar ante una eventual materialización o simplemente evitar que se presenten
¿Qué es un análisis de riesgos?
ResponderEliminarUna forma de aumentar conocimientos sobre riesgo en el lugar de trabajo es realizar un análisis de riesgos del trabajo sobre las tareas de los individuos. Un análisis de riesgos del trabajo (JHA) es un procedimiento que lleva a integrar los principios y prácticas de salud y seguridad aceptadas en una operación en particular.
Evaluación de riesgos....
En lo que respecta a la alimentación, el riesgo implica un impacto potencial en los consumidores. Los microorganismos infecciosos, las sustancias químicas contaminantes (por ejemplo, los productos de limpieza) o los agentes físicos (como el cristal) entrañan posibles peligros relacionados con los alimentos. A pesar de que se realizan todos los esfuerzos posibles para minimizar los peligros, la seguridad alimentaria no es absoluta y éstos peligros siempre pueden darse.
Gestión de riesgos...
Los gestores de riesgos dirigen el análisis de riesgos, deciden si la evaluación de un riesgo es necesaria o no para resolver un problema y apoyan a los evaluadores en su trabajo. Una vez realizada la evaluación, los gestores de riesgos se basan en el resultado para decidir qué medidas hay que tomar. Cuando es preciso reducir el riesgo, la gestión de riesgos debe optar por las mejores medidas posibles para lograrlo.
Comunicación de riesgos...
En el análisis de riesgos, existen diferentes tipos de comunicación importantes. Los aspectos técnicos se debaten entre gestores, evaluadores y partes interesadas del sector privado. A la hora de decidir cuál es la mejor manera de controlar un riesgo y de ejecutar las decisiones, la comunicación entre los gestores de riesgos y los sectores público y privado es muy importante. Este debate es menos técnico y tiene en cuenta, por ejemplo, puntos de vista éticos, sociales y económicos
¿Qué es análisis de riesgo del trabajo?
Una forma de aumentar conocimientos sobre riesgo en el lugar de trabajo es realizar un análisis de riesgos del trabajo sobre las tareas de los individuos. Un análisis de riesgos del trabajo (JHA) es un procedimiento que lleva a integrar los principios y prácticas de salud y seguridad aceptadas en una operación en particular.
¿Cuáles son los beneficios de realizar el análisis de riesgo del trabajo?
El método utilizado en este ejemplo es observar a un trabajador desempeñar realmente el trabajo. Las principales ventajas este método incluye que no se basa en la memoria individual y que el proceso acelera el reconocimiento de riesgos. Para trabajos nuevos o desempeñados poco frecuentemente, la observación puede que no sea práctica. Con esto, un enfoque es tener un grupo de trabajadores experimentados y supervisores para que complete el análisis por medio de la discusión
¿Cuáles son los cuatro pasos básicos?
ResponderEliminarLos cuatro pasos básicos para realizar un JHA son:
1: seleccionar el trabajo que se va a analizar.
2: dividir el trabajo en una frecuencia de partes.
3: identificar los riesgos potenciales
4: determinar medidas preventivas para superar estos riesgos
¿Qué es importante conocer cuando "se esta seleccionando el trabajo"?
Idealmente, todos los trabajos deben estar sometidos a un JHA. En algunos casos existen limitaciones prácticas debido a la cantidad de tiempo y esfuerzo que se requiere para realizar un JHA. Otra consideración es que JHA recibirá revisión cuando cambie el equipo, la materia prima, los procesos, o el ambiente.
Los factores que se deben considerar para asignar una prioridad para análisis de trabajo incluye:
- Frecuencia y gravedad de accidentes: trabajos en donde los accidentes ocurren frecuentemente o no muy frecuentemente pero que resultan en lesiones discapacitantes.
- Potencial para lesiones o enfermedades graves: las consecuencias de un accidente, condiciones peligrosas, o exposición a sustancias nocivas son potencialmente graves.
- Trabajos recientemente establecidos: debido a la falta de experiencia en nuestros trabajos, los riesgos puede que no sean evidentes o anticipados.
- Trabajos modificados: se pueden formar nuevos riesgos con los cambios en los procedimientos de trabajo.
- Trabajos desempeñados porco frecuentemente: los trabajadores pueden estar en riesgo mayor cuando realizan trabajos que no son rutinarios, y un JHA brinda un medio de revisar los riesgos.
LINKS..
http://www.eufic.org/article/es/artid/analisis-de-riesgos/
www.ccsso.ca/oshanswers/hsprograms/job-haz.html
http://www.welivesecurity.com/la-es/2012/08/16/en-que-consiste-analisis-riesgos/
ResponderEliminarValoración del Riesgo
El análisis de riesgo, también conocido como evaluación de riesgo o PHA por sus siglas en inglés Process Hazards Analysis, es el estudio de las causas de las posibles amenazas y probables eventos no deseados, como lo son daños o consecuencias que éstas puedan producir .
El análisis de los riesgos determinará cuáles son los factores de riesgo que potencialmente tendrían un mayor efecto sobre nuestro proyecto y, por lo tanto, deben ser gestionados por el emprendedor con especial atención.
Amenazas está dado por los siguientes componentes:
Targeting
Delincuencia Informática
Amenazas indirectas
Análisis del riesgo en redes y equipos: La gestión hace parte importante como componente principal para el desarrollo de las métricas de seguridad. A continuación se desglosa el análisis de la siguiente forma:
Analizar los intereses sobre información de los principales actores de la empresa. No se confíe de nadie, pero siempre tenga en mano un backup de persona.
Evaluar el impacto de la perdida de información, precio por daño o hacking de equipos o redes.
Establecer el riesgo técnico en el cual se encuentra la organización. Es bueno evaluar todos los equipos.
El súper equipo costoso y súper seguro ''Routers, firewalls, Switch'' no existen, ya que es más que un mito, no interesa cuánto se invierte en seguridad, siempre va a quedar un agujero.
El hacker más peligroso es uno mismo junto con la confianza.
Amenazas
Las amenazas informáticas son los problemas más vulnerables que ingresan a nuestra computadora con el hecho de afectarlo (virus), estás son algunos tipos de amenazas:
Targeting: Amenazas declaradas, amenazas potenciales.
Amenazas por delincuente común.
Amenazas indirectas: Tener el equipo equivocado en el momento equivocado.
Vulnerabilidad
Falencias o brechas representa el grado de exposición a las amenazas en un contexto particular. Dónde están las mayores vulnerabilidades:
Seguridad física
Concienciar a los usuarios acerca de los problemas de seguridad.
Seguridad lógica
Seguridad en las telecomunicaciones.
Capacidades
Son los puntos fuertes y los recursos a los que puede acceder a una empres para lograr un nivel razonable de seguridad.
Precisión en la información
Mantener, enviar y recibir información
Poseer información clave en pocas personas.
Poseer equipo de seguridad a la medida de la empresa y no a la del fabricante
¿Qué puede hacer un hacker en una organización?
Aprovechar la confianza que se tiene sobre la red y los equipos. Tienen en común su deseo de buscar los puntos débiles de una red.
La inseguridad se puede dividir en dos categorías:
Un estado de inseguridad activo: Es decir, la falta de conocimiento del usuario acerca de las funciones del sistema, algunas de las cuales pueden ser dañinas para el sistema (por ejemplo, no desactivar los servicios de red que el usuario no necesita, revisar las ACL de los enrutadores).
Un estado de inseguridad pasivo: Es decir, la falta de conocimiento de las medidas de seguridad disponibles (por ejemplo, cuando el administrador o usuario de un sistema no conocen los dispositivos de seguridad con los que cuentan).
Análisis de Riesgo en Redes
ResponderEliminarCuando se diseña políticas de seguridad es importante entender que la razón para crearlas es asegurar que los mayores esfuerzos de protección se enfocan a los puntos más importantes de la red. Esto significa que hay que entender que recursos de la red requieren ser protegidos y cuales son más importantes que otros. Además, hay que identificar la fuente de peligro de la cual se están protegiendo los recursos para brindar el tipo de protección que necesitan los recursos.
Para iniciar este análisis es necesario que el administrador tome en consideración las respuestas a las siguientes preguntas
¿Cuál es lo que necesita proteger?
¿De qué o quienes necesita proteger a los recursos?
Se provee una lista de los recursos que deberían se considerados en la estimación de amenazas:
-Hardware
-Software
-Datos
-personas
-Documentación
-Surministro
Son muchas las metodologías utilizadas para la gestión de riesgos, pero todas parten de un punto común:
ResponderEliminar* La identificación de activos de información, es decir todos aquellos recursos involucrados en la gestión de la información como : datos y hardware hasta documentos escritos y el recurso humano.
Sobre estos activos de información es que hace la identificación de las amenazas o riesgos y las vulnerabilidades
Una amenaza se puede definir entonces como un evento que puede afectar los activos de información.
*Ejemplos:
Ataques informáticos externos
Errores u omisiones del personal de la empresa
Infecciones con malware.
Aunque una amenaza no siempre es por parte del hombre si no tambien de l naturaleza.como por ejemplo los terremotos o fallas electricas :D
El análisis de riesgo es el uso sistemático de la información disponible para determinar la frecuencia con la que determinados eventos se pueden producir y la magnitud de sus consecuencias.
ResponderEliminarLos riesgos normalmente se definen como eventos negativos, como puede ser la pérdida de dinero en una empresa o una tormenta que genera un gran número de reclamaciones de seguro. Sin embargo, durante el proceso de análisis de riesgo también se pueden descubrir resultados potenciales positivos. Mediante la exploración de todo el espacio de posibles resultados para una situación determinada, un buen análisis de riesgo puede identificar peligros y descubrir oportunidades.
El análisis de riesgo se puede realizar cualitativa y cuantitativamente. El análisis de riesgo cualitativo generalmente incluye la evaluación instintiva o “por corazonada” de una situación, y se caracteriza por afirmaciones como “Eso parece muy arriesgado” o “Probablemente obtendremos buenos resultados”. El análisis de riesgo cuantitativo trata de asignar valores numéricos a los riesgos, utilizando datos empíricos o cuantificando evaluaciones cualitativas. Vamos a concentrarnos en el análisis de riesgo cuantitativo.
http://www.palisade-lta.com/risk/analisis_de_riesgo.asp