Upload File

admón del riesgo en informática

5

Click here to load reader

Upload: carolina-tovar

Post on 22-Jan-2018

149 views

Category:

Education


0 download

Report

TRANSCRIPT

Page 1: Admón del riesgo en informática

ADMINISTRACIÓN DEL RIESGO EN INFORMÁTICA.

Presentado por:

Carolina Tovar González

María Nela Ortega

ACTIVIDAD.

1. Realice un resumen de los artículos publicados: • Cómo evaluar y detectar los riesgos informáticos en la empresa • ¿Qué es y por qué hacer un Análisis de Riesgos?

2. Descargue y complete la matriz de evaluación del riesgo empresarial, para ello debe tomar la situación de la empresa donde labora o en su defecto sobre una organización que conozca o donde haya trabajado.

3. Seleccioné alguno de los casos publicados en el artículo: Los principales casos de pérdida de datos y robo de información de 2013, consulte información adicional sobre el caso seleccionado que le permita conocer más a fondo lo que sucedió. Redacte un escrito de 20 líneas donde analice los hechos, que errores se cometieron, las perdidas, costos para la empresa y las acciones o estrategias que se deben implementar para que no se repitan estas fugas de información.

Page 2: Admón del riesgo en informática

1. Cómo evaluar y detectar los riesgos informáticos en la empresa.

Para conocer el estado de seguridad de un sistema, necesitamos modelarlo, identificando y valorando sus activos, e identificando y valorando las amenazas sobre dichos activos. Así pues, podemos estimar el riesgo a que el sistema está sujeto. El riesgo se puede mitigar por medio de las salvaguardas o contramedidas desplegadas para proteger el sistema. La evaluación de los riesgos y detección de los problemas informáticos es esencial para que nos demos cuenta de cuál es el coste económico del que hablamos. Cuando una empresa compra ordenadores, estos pasan a convertirse en un activo del negocio, teniendo un coste económico. Al igual que el resto de maquinaria, los ordenadores se van amortizando y pierden valor, pero este proceso puede verse acelerado si no se les presta la debida atención en mantenimiento informático. 1. Identificando el valor de los bienes informáticos: Es necesario evaluar que, si hay equipos informáticos en nuestro negocio, necesariamente hablaremos de un riesgo económico para la empresa, ya que implica una inversión en términos de tiempo, mano de obra y dinero. Pero no sólo hablamos aquí de hardware, sino de toda el área informática de la empresa.

En función del volumen del negocio y la inversión, habría que contabilizar económicamente de forma pormenorizada cuál es el valor de la inversión en informática y tecnologías IT y decidir qué podemos hacer para evitar que en un momento dado tuviera que hacer frente a esos gastos y si podríamos reducirlos mediante mantenimiento informático.

2. Analizando los riesgos informáticos: Una vez calculado el precio de los bienes de equipo que están en juego, es importante analizar todos los orígenes de los problemas informáticos, que en una gran organización pueden tener una inmensa variedad de fuentes.

Desconocimiento de los usuarios sobre las buenas prácticas de seguridad online.

Evaluación del riesgo de sufrir ataques informáticos de terceros.

Evaluación del riesgo de que los equipos resulten infectados por virus.

Tiempo de vida de los equipos informáticos y otros dispositivos.

Prácticas en cuanto a copias de seguridad.

Protocolo de actuación ante problemas informáticos (Plan de contingencia informático).

al valor de los bienes de equipo.

Page 3: Admón del riesgo en informática

3. Reduciendo los riesgos informáticos: El presupuesto destinado a informática debe orientarse a las necesidades de la organización. Habrá gastos que son variables e imprescindibles, pero otros en cambio no están contemplados, o son imprevistos que podrían evitarse aplicando las técnicas de mantenimiento predictivo y preventivo adecuadas.

Para tomar estas medidas, la empresa también debe tener en cuenta cuánto está dispuesta a invertir en mantenimiento informático para reducir esos riesgos al mínimo. No todas las tareas serán de carácter económico; algunas sólo consistirán en el seguimiento de una serie de buenas prácticas que deberán seguir todos los miembros de la organización, así como una política de seguridad para la red informática.

¿Qué es y por qué hacer un Análisis de Riesgos?

Un Sistema de Gestión de Seguridad de la Información (SGSI) implica que la organización ha estudiado los riesgos a los que está sometida toda su información, ha evaluado qué nivel de riesgo asume, ha implantado controles (no sólo tecnológicos, sino también organizativos y legales) para aquellos riesgos que superan dicho nivel, ha documentado las políticas y procedimientos relacionados y ha entrado en un proceso continuo de revisión y mejora de todo el sistema.

El objetivo de la gestión de riesgos es reducir diferentes riesgos relativos a un ámbito preseleccionado a un nivel aceptado por la sociedad. Puede referirse a numerosos tipos de amenazas causadas por el medio ambiente, la tecnología, los seres humanos, las organizaciones y la política.

Son muchas las metodologías utilizadas para la gestión de riesgos, pero todas parten de un punto común: la identificación de activos de información, es decir todos aquellos recursos involucrados en la gestión de la información, que va desde datos y hardware hasta documentos escritos y el recurso humano. Sobre estos activos de información es que hace la identificación de las amenazas o riesgos y las vulnerabilidades

Una empresa puede afrontar un riesgo de cuatro formas diferentes: aceptarlo, transferirlo, mitigarlo o evitarlo. Si un riesgo no es lo suficientemente crítico para la empresa la medida de control puede ser aceptarlo, es decir, ser consciente de que el riesgo existe y hacer un monitoreo sobre él. Si el riesgo representa una amenaza importante para la seguridad de la información se puede tomar la decisión de transferir o mitigar el riesgo.

La gestión de riesgos debe garantizarle a la empresa la tranquilidad de tener identificados sus riesgos y los controles que le van a permitir actuar ante una eventual materialización o simplemente evitar que se presenten. Esta gestión debe mantener el equilibrio entre el costo que tiene una actividad de control, la importancia del activo de información para los procesos de la empresa y el nivel de criticidad del riesgo.

http://blogs.eset-la.com/laboratorio/2011/03/08/principio-pareto-seguridad-informatica/
http://blogs.eset-la.com/laboratorio/2012/06/08/mejor-estandar-gestionar-seguridad-informacion/
Page 4: Admón del riesgo en informática

2. Matriz de evaluación del riesgo empresarial

Nombre de la organización: IETA – Instituto de Estudios Técnicos Aeronáuticos

Descripción y trayectoria: Compañía del sector educativo, con una trayectoria de 25 años en la industria aeronáutica.

Dedicada a la capacitación y formación de jóvenes bachilleres, con edades que oscilan entre los 16 y 30 años, en diversos programas

educativos, enfocados en la reparación y mantenimiento de aviones en general.

Su mayor sistema de información, esta enfocado en el resguardo de notas de calificaciones, con todo el historial de cada uno de los

aprendices que han hecho parte de la Institución. (Archivo histórico, desde la primera promoción de graduandos).

Matriz de evaluación del riesgo empresarial

Tipos de riesgos Valoración del

riesgo (1-5) Descripción del riesgo Medidas preventivas y/o correctivas

Datos 4

Bastante personal tiene acceso a la misma información. Intervención de manos inescrupulosas.

Delegar encargados y asignar permisos específicos según las tareas o labores que cada empleado desempañara.

Hardware

5

Fallos en el equipo, malas conexiones e instalaciones o alquiler de maquinaria de poca calidad.

Contratar y estabilizar la compañía proveedora de maquinaria, muebles y cómputo, así mismo fidelizar al encargado de mantenimiento de los equipos.

Software 5

Cambios constantes de los sistemas de información; y re digitación de datos ocasiona un amplio índice de error de transcripción.

Estandarizar un software efectivo, y evitar el traslado de la información de forma manual, de esta manera el índice de error humano se reducirá a un 90 %.

Documentos

3

No establecer procedimientos de recepción, diligenciamiento, consulta y disposición final de los documentos y archivos.

Parametrizar procesos del archivo documental por dependencias, forjar un manual de operación para el mismo objetivo.

Recursos Humanos

4

típicamente el personal es descuidado con las contraseñas y no instalan, ni reportan la no presencia de antivirus. Además la alta rotación del personal genera que un número considerable de personas tengan contacto con el sistema, generando vulnerabilidad al mismo.

Establecer desde el área de sistemas e informática los datos de acceso para casa usuario; adicional realizar jornadas cada cierto tiempo para actualizar, instalar o retirar los programas (antivirus).

otros

2

Desastres naturales (Incendios, terremotos)

Formalizar dentro de la compañía un comité de seguridad industrial que parametrice un plan de emergencias y evacuación.

Valoración de riesgo: Teniendo en cuenta que 1 es lo más bajo y 5 es lo más alto.

Page 5: Admón del riesgo en informática

3. Los principales casos de pérdida de datos y robo de información de 2013.

Adobe: 38 millones de cuentas afectadas:

La empresa de "software" Adobe revelo que 38 millones es el número de usuarios afectados por una serie de ataques de piratas informáticos, que hizo público el pasado día 3 de octubre de 2013, aunque sus estimaciones iniciales fijaron en 2,9 millones de cuentas vulneradas, ya dio a conocer la cifra real. Adobe, que tiene entre su lista de productos más conocidos el formato PDF, el sistema Flash y el editor fotográfico Photoshop, indicó que las identidades de 38 millones de usuarios y sus contraseñas habían quedado expuestas a los "hackers" y por tanto la compañía procedió a informar mediante correos electrónicos a las víctimas de esta invasión de sus sistemas, al tiempo

que cambio todas las contraseñas que consideró que habían sido corrompidas en el incidente. Los datos de tarjetas de crédito no fueron extraídos de los sistemas de Adobe, según su propia investigación.

Como acciones adobe, reinició las contraseñas de los usuarios; se comprometió a enviar una

notificación a los clientes por e-mail, con instrucciones para cambiar la clave. Igualmente, la

compañía notificará a los clientes de quienes cree que se robó información de tarjetas de crédito y

débito.

La empresa asegura que la información está encriptada y que no creen que los atacantes hayan

podido descifrar los números de las tarjetas, sin embargo, ya notificó a los bancos que procesan los

pagos de Adobe para tratar de ayudar a proteger las cuentas de los clientes. Todavía no hay una

solución definida a la vulnerabilidad, así que la recomendación para correr menos riesgos, es

instalar el Flash Player 10.1 RC o directamente deshabilitar Flash. Y en cuanto a Reader y Acrobat,

no usar ninguno (para leer PDF, puedes usar Foxit) o borrar, cambiar el nombre o bloquear el

acceso al archivo authplay.dll.

Links Consultados:

http://www.psafe.com/es/blog/grandes-ataques-hackers-empresas-gobiernos/

http://www.gadae.com/blog/como-evaluar-y-detectar-los-riesgos-informaticos-en-la-empresa/

http://www.welivesecurity.com/la-es/2012/08/16/en-que-consiste-analisis-riesgos/

http://sophosiberia.es/los-principales-casos-de-perdida-de-datos-y-robo-de-informacion-de-2013/

http://economia.elpais.com/economia/2013/10/30/agencias/1383158152_548164.ht

http://www.siliconnews.es/2013/10/29/confirmado-38-millones-de-cuentas-afectadas-en-el-

ciberataque-adobe/

http://www.genbeta.com/herramientas/foxit-reader-30
http://www.psafe.com/es/blog/grandes-ataques-hackers-empresas-gobiernos/
http://www.gadae.com/blog/como-evaluar-y-detectar-los-riesgos-informaticos-en-la-empresa/
http://www.welivesecurity.com/la-es/2012/08/16/en-que-consiste-analisis-riesgos/
http://sophosiberia.es/los-principales-casos-de-perdida-de-datos-y-robo-de-informacion-de-2013/
http://economia.elpais.com/economia/2013/10/30/agencias/1383158152_548164.ht
http://www.siliconnews.es/2013/10/29/confirmado-38-millones-de-cuentas-afectadas-en-el-ciberataque-adobe/
http://www.siliconnews.es/2013/10/29/confirmado-38-millones-de-cuentas-afectadas-en-el-ciberataque-adobe/

PROYECTOS TECNOLOGICOS I Administrador de Empresas Ingeniero de Sistemas Esp. En Admón. de la Informática Educativa Esp. En Gerencia Informática Asesor

ADMÓN. PÚBLICA Y PRIVADA

Grupo I. Admón CientíFica Y Clásica

Admón de personal

INTRODUCCIÓN A LA ECONOMÍA SESIÓN 11 Semestre 2 Lic. en Admón. De Servicios e Informática

LAS TECNOLOGIAS DE LA INFORMACIÓN Y LA COMUNICACIÓN (TIC) Administrador de Empresas Ingeniero de Sistemas Esp. En Admón. de la Informática Educativa Esp

Cª de hacienda y admón pública

Administració Administración de Riesgos en Proyectos · 2 Contenido n Introducción. n Definición de Riesgo. n Proceso de Admón. de Riesgos. n Percepción del riesgo. n Los riesgos

Admón de Mercadotecnia

Presentacion de admón

Admón. de Recs Hums Introducción

Investigación II-Admón Almacén Mdz

GUÍA ADMÓN DEL RIESGO

6. conpes 3248 renovación admón pública

Presentacion admón de pymes

Cómo llevar un proceso de admón

1 4 vías admón fármacos

Tribuna Admón. Pública nº 912

Nivelatorio Fundamento De AdmóN[1]

Fundamentos de Admón Cap. 1

evolucion admón

DISEÑO, DESARROLLO Y EVALUACION SOFTWARE EDUCATIVO Administrador de Empresas Ingeniero de Sistemas Esp. En Admón. de la Informática Educativa Esp. En Gerencia

Admón del personal y supervisión

Riesgo de la informática

Proyecto Educativo de Programa Admón Empresas

Generalidades de la admón

Admón con enfasis en Mercadeo.doc

Introducción a la admón unidad 1

4.Proceso Admón Estrategica

Admón. estrategica de operaciones biens.compressed

20050508 Mejores Practicas Admón. Incidentes

Exposición de admón i (2)

Admón. de Operaciones

Apuntes de legislación y admón

Admón de capacitacion