riesgos informaticos
DESCRIPTION
Este tipo abarca todos los riesgos asociados con la autorización, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organización.TRANSCRIPT
RIESGOS INFORMÁTICOS
CONCEPTO
La acepción “riesgo informático” es un concepto nuevo en la
termología jurídica sin existir por tanto una definición específica.
El riesgo se refiere a la incertidumbre o probabilidad de que ocurra o
se realce una eventualidad, de la cual puede estar prevista: en este
sentido podemos decir que el riesgo es la contingencia de un daño.
En función de lo anterior, podemos aseverar que los riesgos
informáticos se refieren a la incertidumbre existente por la posible
realización de un suceso relacionado con la amenaza de daño
respecto a los bienes o servicios informáticos como por ejemplos los
equipos informáticos, periféricos, instalaciones, proyectos, programas
de cómputo, archivos, información, datos confidenciales,
responsabilidad civil que estos ocasionan frente a terceros por la
prestación de un servicio informático, etc.
RIESGOS DE INTEGRIDAD:
Este tipo abarca todos los riesgos asociados con la
autorización, completitud y exactitud de la entrada,
procesamiento y reportes de las aplicaciones utilizadas en
una organización.
Interface del usuario
Procesamiento
Interface
RIESGOS DE RELACION:Los riesgos de relación se refieren al uso oportuno de la información creada por una aplicación. Estos riesgos se relacionan directamente a la información de toma de decisiones (Información y datos correctos de una persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones correctas
RIESGOS DE ACCESO:
Estos riesgos se enfocan al inapropiado acceso a sistemas,
datos e información. Estos riesgos abarcan: Los riesgos de
segregación inapropiada de trabajo, los riesgos asociados con
la integridad de la información de sistemas de bases de datos y
los riesgos asociados a la confidencialidad de la información.
Los riesgos de acceso pueden ocurrir en los siguientes niveles
de la estructura de la seguridad de la información.
RIESGOS DE UTILIDAD:
Estos riesgos se enfocan en tres diferentes niveles de riesgo:
Los riesgos pueden ser enfrentados por el direccionamiento de sistemas Antes de que los problemas ocurran.
Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas.
Backups y planes de contingencia controlan desastres en el procesamiento de la información.
RIESGOS EN LA
INFRAESTRUCTURA:Estos riesgos se refieren a que en las organizaciones no existe una estructura información tecnológica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. Estos riesgos están asociados con los procesos de la información tecnológica que definen, desarrollan, mantienen y operan un entorno de procesamiento de información y las aplicaciones asociadas (servicio al cliente, pago de cuentas, etc.).
RIESGOS DE SEGURIDAD GENERAL:
Los estándares IEC 950 proporcionan los requisitos de diseño para
lograr una seguridad general y que disminuyen el riesgo:
Riesgos de choque de eléctrico: Niveles altos de voltaje.
Riesgos de incendio: Inflamabilidad de materiales.
Riesgos de niveles inadecuados de energía eléctrica.
Riesgos de radiaciones: Ondas de ruido, de láser y ultrasónicas.
Riesgos mecánicos: Inestabilidad de las piezas eléctricas
Áreas de incidencia de
riesgos informáticos
- Causas de los riesgos
- Vulnerabilidades
- agujeros
Efectos en :
- disponibilidad
- integridad
- confidencialidad
Análisis de riesgos
informáticos
OBJETIVOS
Seguridad de la Información
Integridad
Confidencialidad
Disponibilidad
RIESGO
Los recursos informáticos se encuentran de
manera continua sujeto a numerosos riesgos
que, de materializarse, podrían afectar la
continuidad de las operaciones, el
cumplimiento de las metas y el patrimonio de
las empresas. Por esta razón es importante
protegerlos.
Transferencia
del Riesgo
Tolerancia al
Riesgo
Apetito del
Riesgo
SITUACIONES
Read after Write
Write after Read
Write after Write
CONSECUENCIAS
Un riesgo conlleva a dos tipos de consecuencias: Gananciaso Pérdidas. En informática el riesgo solo tiene que ver con laamenaza que la información puede sufrir, determinando elgrado de exposición y la perdida de la misma.
La ISO (Organización Internacional de Estándares) define elriesgo informático como: “La posibilidad que una amenazase materialice, utilizando vulnerabilidad existente en unactivo o grupos de activos, generando se así perdidas odaños.
En la actualidad se tiene diferentes medios de ataque queincrementa el riesgo de la pérdida de información, algunosde los elementos que nos pueden afectar directamente a lainformación son: Los spam, los virus, los gusanos, Adware ySpyware
LEYES
La Ley de Protección de Datos Personales, Ley 2973
Norma que regula no sólo los alcances del derecho reconocido en nuestraConstitución, sino también, las distintas situaciones que pueden plantearseen el tratamiento de información personal contenida en bancos de datostanto en el ámbito de la Administración pública (en los tres niveles deGobierno) como en la actividad de particulares.
Ley que incorpora los delitos informáticos al Código Penal LEY Nº27309
Artículo 207º-A.- El que utiliza o ingresa indebidamente a una base dedatos, sistema o red de computadoras o cualquier parte de la misma,para diseñar, ejecutar o alterar un esquema u otro similar, o parainterferir, interceptar, acceder o copiar información en tránsito o contenidaen una base de datos, será reprimido con pena privativa de libertad nomayor de dos años o con prestación de servicios comunitarios de 52 aciento cuatro jornadas.
LEYES
DECRETO LEGISLATIVO Nº 681
DICTAN NORMAS QUE REGULAN EL USO DE TECNOLOGÍAS AVANZADAS EN MATERIA
DE ARCHIVO DE DOCUMENTOS E INFORMACIÓN TANTO RESPECTO DE LA
ELABORADA EN FORMA CONVENCIONAL COMO LA PRODUCIDA POR
PROCEDIMIENTOS INFORMÁTICOS EN COMPUTADORAS
MICROFORMA
MICRODUPLICADO
MICROGRABACION
MICROARCHIVO
PREVENCIÓN DE RIESGOS INFORMÁTICOS
Conocer las vulnerabilidades
de la empresa
Conocer el impacto de las
incidencias
Prevención de riesgos
informáticos
MITOS
Mitos
Si invierto en tecnología
no hay problema
Lo de TI es secundario
La seguridad informática
es un concepto
joven
Si tengo un cortafuegos
estoy protegido
VERDADES
Verdades
Riesgos es IP a su
prevención
Se debe buscar
protección en todas las
áreas
Recuperar la normalidad del servicio en el menor
tiempo
El 100% de seguridad no
existe
PLAN DE PREVENCIÓN DE RIESGOS
Plan de prevención de riesgos
Análisis
Revisión de defensas
Revisión de procedimie
ntos
Entorno jurídico
Visión y control
global de TI
Soluciones concretas
Plan de control
PRECAUCIONES
Concentrar información en un solo lugar
Depender de una sola persona
No documentar el
procesoAtaques físicos
Mala infraestructura
¿CÓMO PREVENIR LOS RIESGOS?
¿Cuánto valor tiene la información de la empresa?
¿Cuánto estamos dispuestos a invertir para protegerla?
Tener un plan de contingencias
Protección
Usuario
GRACIAS