18 de septiembre de 2017 [Anlisis de riesgo y polticas de seguridad]

Ao del buen servicio al ciudadano

Instituto tecnolgico Superior Manuel

Antonio hierro pozo

Trabajos:

- Anlisis de riesgo y polticas de

seguridad
- Network, Rancid, Siscowork, NetMRI
Curso: Gestin de redes

Semestre: II

Docente: Ccenhua Casaverde Henrry

Alumno: Aanca Gonzalez Jhonatan Luis

1 Institucin tecnolgico Manuel Antonio hierro pozo

18 de septiembre de 2017 [Anlisis de riesgo y polticas de seguridad]

PRIMERAMENTE A DIOS POR HABERME

PERMITIDO LLEGAR HASTA ESTE PUNTO Y

DARME LO NECESARIO PARA SEGUIR

ADELANTE DA A DA PARA LOGRAR MIS

OBJETIVOS.

2 Institucin tecnolgico Manuel Antonio hierro pozo

18 de septiembre de 2017 [Anlisis de riesgo y polticas de seguridad]

NDICE

Anlisis De Riesgo Y Polticas De Seguridad5

1.-Anlisis De Riesgo5

Tipos De Anlisis De Riesgo...6

1.- Anlisis Cuantitativo Del Riesgo6

2.- Anlisis Cualitativo Del Riesgo..6

Pasos Del Anlisis Del Riesgo7

1.- Identificar Y Evaluar Los Activos..7

2.- Identificar Las Amenazas7

Regulaciones Y Normas Que Tratan El Riesgo..8

Poltica De Seguridad...8

1.-Polticas Para La Confidencialidad8

2.- Polticas Para La Integridad..8

Modelos De Seguridad.9

1.-Modelo Abstracto..9

2.- Modelo Concreto..9

3.-Modelos De Control De Acceso....9

4.-Modelos De Flujo De Informacin..9

Procedimientos Y Planes De Contingencia10

1.-Procedimientos Preventivos..10
3 Institucin tecnolgico Manuel Antonio hierro pozo
18 de septiembre de 2017 [Anlisis de riesgo y polticas de seguridad]

2.-Procedimientos Correctivos.10

Planes De Contingencia...11

1.-Pruebas Y Mantenimiento..11

2.-Verificar La Disponibilidad ..11

3.-Verificar Los Procedimientos....11

4.-Comprobar El Correcto Funcionamiento11

Realizar Simulacros.11

4 Institucin tecnolgico Manuel Antonio hierro pozo

18 de septiembre de 2017 [Anlisis de riesgo y polticas de seguridad]

ANLISIS DE RIESGO Y POLTICAS DE SEGURIDAD

1.- ANLISIS DE RIESGO:

Es un proceso que comprende los activos informticos,

sus vulnerabilidades y amenazas a los que se encuentran expuestos as como su

probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles

adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

CARACTERSTICAS:

Es importante recordar que el riesgo es el impacto negativo en el ejercicio de la

vulnerabilidad, considerando la probabilidad y la importancia de ocurrencia.

Calcular el impacto en caso que la amenaza se presente, tanto a nivel de riesgo

no controlado como el riesgo controlado y evaluar el riesgo de tal forma que se

pueda priorizar, esto se realiza de forma cuantitativa (asignando pesos) de

forma cualitativa (matriz de riesgos)

TIPOS DE ANLISIS DE RIESGO

1.- ANLISIS CUANTITATIVO DEL RIESGO:

Todos los activos, sus recursos y los controles se identifican, y se evalan en

trminos monetarios. Todas las amenazas potenciales se identifican y se estima la

frecuencia de su ocurrencia, estas amenazas se comparan con las vulnerabilidades

potenciales del sistema de tal forma que se identifiquen las reas que son sensibles.

2.- ANLISIS CUALITATIVO DEL RIESGO

5 Institucin tecnolgico Manuel Antonio hierro pozo

18 de septiembre de 2017 [Anlisis de riesgo y polticas de seguridad]

En lugar de establecer valores exactos sedan notaciones como alto, bajo, medio

que representan la frecuencia de ocurrencia y el valor de los activos. La desventaja es

que pueden existir reas significativamente expuestas que no hayan sido identificadas

como posibles fuentes de riesgo.

Ambos tipos de anlisis del riesgo hacen uso de los siguientes elementos

interrelacionados:

1. Activo:

Es un objeto o recurso de valor empleado en una empresa u organizacin

2. Amenazas

Las amenazas estn siempre presentes en cada sistema.

3. Vulnerabilidades

Las vulnerabilidades permiten que un sistema sea ms propenso a ser atacado

por una amenaza o que un ataque tenga mayor probabilidad de tener xito o

impacto.

4. Riesgo

Es un incidente o situacin, que ocurre en un sitio concreto en un

intervalo de tiempo determinado, con consecuencia negativo o positivo

que pueden afectar el cumplimiento de los objetivos

5. Anlisis

Examinar o descomponer un todo detallando cada uno de los elementos que lo

forman a fin de terminar la relacin entre sus principios y elementos.

6. Controles

son las medidas contra las vulnerabilidades.

6 Institucin tecnolgico Manuel Antonio hierro pozo

18 de septiembre de 2017 [Anlisis de riesgo y polticas de seguridad]

PASOS DEL ANLISIS DEL RIESGO

1.- IDENTIFICAR Y EVALUAR LOS ACTIVOS

Identificar y asignar un valor a los activos que necesitan proteccin. El valor del

activo se basa en su costo, sensibilidad, misin crtica, o la combinacin de estas

propiedades.

2.- IDENTIFICAR LAS AMENAZAS

Despus de identificar los activos que requieren proteccin, las amenazas a stos

deben ser identificadas y examinadas para determinar cul sera la prdida si dichas

amenazas se presentan.

REGULACIONES Y NORMAS QUE TRATAN EL RIESGO

Requisitos mnimos de gestin, implementacin y control de los riesgos

relacionados con tecnologa informtica y sistemas de informacin.

ISO/IEC 27001

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un

Sistema de Gestin de la Seguridad de la Informacin (SGSI)

ISO/IEC 27005

Esta Norma proporciona directrices para la Gestin del riesgo de Seguridad de la

Informacin en una Organizacin. Sin embargo, esta Norma no proporciona ninguna

7 Institucin tecnolgico Manuel Antonio hierro pozo

18 de septiembre de 2017 [Anlisis de riesgo y polticas de seguridad]

metodologa especfica para el anlisis y la gestin del riesgo de la seguridad de la

informacin.

Basilea II

Estndar internacional que sirva de referencia a los reguladores bancarios, con objeto de

establecer los requerimientos de capital necesarios, para asegurar la proteccin de las

entidades frente a los riesgos financieros y operativos.

Ley Sarbanes Oxley (SOX)

Impulsada por el gobierno norteamericano como respuesta a los mega fraudes

corporativos que impulsaron Enron, Tyco International, WorldCom y Peregrine

Systems. Es un conjunto de medidas tendientes a asegurar la efectividad de los

controles internos sobre reportes financieros.

PCI DSS

Impulsada por las principales marcas de tarjetas de pago, este estndar busca garantizar

la seguridad de los datos de titulares de tarjetas de pago en su procesado,

almacenamiento y transmisin.

POLTICA DE SEGURIDAD

El objetivo de una poltica de seguridad informtica es la de implantar una

serie de leyes, normas, estndares y prcticas que garanticen la seguridad,

confidencialidad y disponibilidad de la informacin, y a su vez puedan ser

entendidas y ejecutadas por todos aquellos miembros de la organizacin a las que

van dirigidos.

MISIN

8 Institucin tecnolgico Manuel Antonio hierro pozo

18 de septiembre de 2017 [Anlisis de riesgo y polticas de seguridad]

Una misma organizacin puede tener varias misiones, que son las actividades

objetivas y concretas que realiza. Las misiones tambin pretenden cubrir las

necesidades de la organizacin.

VISIN

Es la imagen idealizada de lo que se quiere crear. Tal idea debe estar bien definida,

pues todas las actividades de la organizacin estarn enfocadas a alcanzar esta visin.

OBJETIVOS

Son actividades especficas enfocadas a cumplir metas reales, alcanzables y

accesibles. Se puede decir que un objetivo es el resultado que se espera logrra al final

de cada operacin.

POLTICAS PARA LA CONFIDENCIALIDAD

Mantener el control sobre quin puede tener acceso a la informacin (ya sea

a los documentos escritos o a los medios electrnicos) pues no siempre queremos que

la informacin est disponible para todo aquel que quiera obtenerla.

POLTICAS PARA LA INTEGRIDAD

La poltica de integridad est orientada principalmente a preservar la

integridad antes que la confidencialidad, esto se ha dado principalmente porque en

muchas de las aplicaciones comerciales del mundo real es ms importante mantener

la integridad de los datos pues se usan para la aplicacin de actividades

automatizadas aun cuando en otros ambientes no es as, como en los mbitos

gubernamental o militar.

9 Institucin tecnolgico Manuel Antonio hierro pozo

18 de septiembre de 2017 [Anlisis de riesgo y polticas de seguridad]

MODELOS DE SEGURIDAD

Abstracto, concreto, de control de acceso y de flujo de informacin

MODELO ABSTRACTO

Se ocupa de las entidades abstractas como sujetos y objetos.

MODELO CONCRETO

Traduce las entidades abstractas a entidades de un sistema real como procesos y

archivos.

Tambin pueden clasificarse como modelos de control de acceso y modelos de flujo

de informacin.

MODELOS DE CONTROL DE ACCESO

Identifican las reglas necesarias para que un sistema lleve a cabo el proceso

que asegura que todo acceso a los recursos, sea un acceso autorizado, en otras

palabras, se enfoca a la proteccin, administracin y monitoreo de los

procedimientos de acceso a la informacin.

MODELOS DE FLUJO DE INFORMACIN

Una meta de las polticas de seguridad es proteger la informacin. Los

modelos de control de acceso se aproximan a dicha meta indirectamente, sin

10 Institucin tecnolgico Manuel Antonio hierro pozo

18 de septiembre de 2017 [Anlisis de riesgo y polticas de seguridad]

relacionarse con la informacin pero s con objetos (tales como archivos) que

contienen informacin.

PROCEDIMIENTOS Y PLANES DE CONTINGENCIA

Solo cuando una organizacin toma conciencia de lo importante que es la

seguridad de sus recursos incluyendo sus tecnologas de la informacin, es cuando

empieza a disear y establecer medidas de seguridad que tienen por objetivo

protegerla de diversas situaciones perjudiciales.

PROCEDIMIENTOS PREVENTIVOS

Contempla todos los procedimientos antes de que se materialice una amenaza,

su finalidad es evitar dicha materializacin.

Los procedimientos preventivos pueden variar dependiendo del tipo de actividades

que realiza la organizacin, los recursos que tiene disponibles, que es lo que quiere

proteger, las instalaciones en que labore y la tecnologa que use.

Las actividades que se realizan en este punto son las siguientes:

Copias de seguridad de las bases de datos y otros tipos de documentos con

informacin indispensable para la organizacin

Instalacin de dispositivos de seguridad tales como cerraduras, alarmas,

puertas electrnicas, cmaras de seguridad, software de proteccin para los

equipos de cmputo, entre otros.

Inspeccionar y llevar un registro constante del funcionamiento y estado de los

recursos informticos, la infraestructura y las condiciones del edificio.

11 Institucin tecnolgico Manuel Antonio hierro pozo

18 de septiembre de 2017 [Anlisis de riesgo y polticas de seguridad]

Instauracin de servicios de seguridad, como lneas telefnicas de

emergencia, extintores, construccin de rutas de emergencia (Entrada y

salida), plantas elctricas de emergencia, etc.

Establecer un centro de servicio alternativo que cuente con los recursos

necesarios para continuar las operaciones de la organizacin hasta el

momento en que el centro de trabajo normal pueda ser usado en condiciones

normales.

Capacitacin del personal en el uso adecuado de las tecnologas informticas,

PROCEDIMIENTOS CORRECTIVOS

Son acciones enfocadas a contrarrestar en lo posible los daos producidos por

un desastre, ataque u otra situacin desfavorable y restaurar el funcionamiento

normal del centro de operacin afectado.

Al igual que los procedimientos preventivos, pueden variar segn los recursos

disponibles, pero tambin vara dependiendo el dao que se quiere contrarrestar pues

no todas las emergencias requieren el uso de todos los procedimientos correctivos

definidos por la organizacin.

PLANES DE CONTINGENCIA

Se usa para el manejo de las Tecnologas de la Informacin y las

Comunicaciones.

Dicho plan contiene las medidas tcnicas, humanas y organizativas necesarias para

garantizar la continuidad de las operaciones de una institucin en caso de desastres y

situaciones catastrficas como incendios, terremotos, inundaciones, etc. pero tambin

contiene las medidas para enfrentar los daos producidos por robo, sabotaje e incluso

12 Institucin tecnolgico Manuel Antonio hierro pozo

18 de septiembre de 2017 [Anlisis de riesgo y polticas de seguridad]

ataques terroristas.

PRUEBAS Y MANTENIMIENTO

Consiste en realizar las pruebas pertinentes para intentar valorar el impacto

real de un posible problema dentro de los escenarios establecidos en la etapa de

diseo. Las pruebas no deben buscar comprobar si un plan funciona, ms bien debe

enfocarse a buscar problemas y fallos en el plan para as poder corregirlos. Es

necesario documentar las pruebas para su aprobacin por parte de las reas

implicadas

Algunas de las actividades realizadas en esta fase son:

VERIFICAR LA DISPONIBILIDAD

De los colaboradores incluidos en la lista del plan de contingencia.

VERIFICAR LOS PROCEDIMIENTOS

Que se emplearan para almacenar y recuperar los datos (backup).

COMPROBAR EL CORRECTO FUNCIONAMIENTO

Del disco extrable, y del software encargado de realizar dicho backup.

REALIZAR SIMULACROS

Capacitando al personal en el uso de los procedimientos indicados en el plan de

contingencia para la medicin de su efectividad.

13 Institucin tecnolgico Manuel Antonio hierro pozo

18 de septiembre de 2017 [Anlisis de riesgo y polticas de seguridad]

NETWORK

Hace referencia a la infraestructura necesaria para establecer vnculos virtuales y la

posibilidad de intercambiar informacin de diversa forma; cabe a esta consideracin

tantos los aspectos lgicos como fsicos de dicha implementacin.

CISCOWORK

Es forma ms eficaz de crear una infraestructura convergente modular, resistente,

adaptable y segura, as como en las aplicaciones integradas para datos, voz y vdeo.

Cisco utiliza un mtodo de sistemas que utiliza la inteligencia de la red

NETMRI

Facilita la identificacin de problemas de configuracin gracias a su inteligencia

incorporada

RANCID

Gestiona la configuracin de los archivos de configuracin guardados, funciona con

enrutadores y switches

14 Institucin tecnolgico Manuel Antonio hierro pozo

18 de septiembre de 2017 [Anlisis de riesgo y polticas de seguridad]

15 Institucin tecnolgico Manuel Antonio hierro pozo