AUDITORIA INFORMATICA

Amenazas
Vulnerabilidades

Riesgos

GESTION DE RIESGOS EN
INFORMATICA

En los sistemas informticos se presentan:

Vulnerabilida
des

Amenazas

Riesgos

Que Atentan contra

La INTEGRIDAD
La CONFIDENCIALIDAD
La DISPONIBILIDAD

GESTION DE RIESGOS

Debilidades

QUE ES UNA
VULNERABILI
DAD?

Fallas

Presentes en los sistemas informticos

ALGUNAS VULNERABILIDADES EN INFORMTICA.

Mala ubicacin del centro de computo.

Software mal configurado.

ALGUNAS VULNERABILIDADES EN INFORMTICA.

Software desactualizado.

Falta de Hardware o hardware obsoleto.

ALGUNAS VULNERABILIDADES EN INFORMTICA.

Ausencia de copias de seguridad o

copias de seguridad incompletas.

Ausencia de seguridad en archivos

digitales o archivos fsicos
confidenciales.

ALGUNAS VULNERABILIDADES EN INFORMTICA.

Cuentas de usuario mal configuradas.

Desconocimiento y/o falta de

socializacin de normas o polticas a los
usuarios por los responsables de
informtica.

ALGUNAS VULNERABILIDADES EN INFORMTICA.

Dependencia exclusiva de un
proveedor de servicio tcnico externo.

Ausencia de documentacin de la
operacin de las aplicaciones.

Pantalla en un sistema de informacin

sin bloqueo por el usuario o sin
protector de pantalla.

Centro de computo sin UPS

GESTION DE RIESGOS

Acciones
dainas

QUE SON
LAS
AMENAZA
S?

Acciones con
consecuencias
negativas

A los sistemas informticos

ALGUNAS AMENAZAS EN INFORMTICA

Se puede Contraer virus.
Se pueden Daar equipos de computo
Se puede acceder sin autorizacin a los
sistemas de informacin.
Se pueden presentar inundaciones.
Se pueden presentar interrupciones en
el servicio.
Pueden Fallar los equipos de computo.
Se pueden presentar desastres
naturales.
Se puede parar la empresa

RIESGOS

RIESG
O

Probabilidad de que
Una amenaza se
materialice utilizando
una vulnerabilidad,
generando un impacto
con perdidas o daos.

RIESGOS
Algunos ejemplos de riesgos.
Perdida de datos
Informacin errnea
Daos en hardware
Perdidas econmicas
Perdida de credibilidad.
Cada de la Red.
Servidor fuera de servicio

RIESGOS
Destruccin de informacin
confidencial.
Fuga de informacin.
Falta de disponibilidad de aplicaciones
criticas.
Incendios en el centro de computo.
Perdida de integridad de los datos.

PROBABILIDAD
Probabilidad: de ocurrencia de la amenaza,
puede ser cualitativa o cuantitativa

IMPACTO
Impacto: consecuencias de la ocurrencia de la
amenaza, pueden ser Econmicas, no
Econmicas

VALORACIN DEL RIESGO

Proceso mediante el cual se establece la

probabilidad de que ocurran daos o
prdidas materiales y la cuantificacin de
los mismos.
La valoracin del riesgo, es el producto de
la Probabilidad de Amenaza por el
impacto del dao, est agrupado en tres
rangos.
Bajo Riesgo= 1 6 (Verde)
Medio Riesgo= 8 9 (amarillo)
Alto Riesgo= 12 16 (rojo)

MATRIZ VALORACIN DEL RIESGOS (AMENAZA

VS IMPACTO)

GESTION DE RIESGOS
Los objetivos de la gestin de riesgos
son:
Identificar
Controlar
Reducir o eliminar las fuentes de riesgo
antes de que empiecen a afectar al
cumplimiento de los objetivos.
(contramedidas)

ADMINISTRACIN DE RIESGOS
No existe una practica para reducir el
riesgo a cero (0), solo la
administracin debe determinar
minimizar la ocurrencia del riesgo,
utilizando para ello el CONTROL
interno.

MEDIDAS ANTE LA PRESENCIA DE RIESGOS

Son los medios utilizados para eliminar

o reducir un riesgo. Se clasifican en:
MEDIDAS DE SEGURIDAD ACTIVA.
MEDIDAS DE SEGURIDAD PASIVA
Las medidas de Seguridad Activa son
utilizadas para reducir o minimizar la
ocurrencia del riesgo y se clasifican en:
Medidas Preventivas (antes del incidente)
Medidas Detectivas (durante el incidente)

MEDIDAS ANTE LA PRESENCIA DE RIESGOS

medidas preventivas:
La autenticacin de usuarios (contraseas)
El control de acceso a los datos (permisos
o privilegios)
La encriptacin de datos sensibles o
confidenciales.
La instalacin y correcta configuracin de
un buen antivirus.
La socializacin a los usuarios de normas
y politicas en informatica.

MEDIDAS ANTE LA PRESENCIA DE RIESGOS

La actualizacin del software (sistemas

operativos, aplicaciones, programas)
La instalacin de hardware redundante en
los servidores (discos espejos, fuentes de
energa, tarjetas de red.
La instalacin de una UPS.
La validacin de los datos.
La implementacin de sistemas de acceso al
CPD.

MEDIDAS ANTE LA PRESENCIA DE RIESGOS

Medidas Detectivas:
Sistemas de deteccin de intrusos
Procedimientos para anlisis de los log
Antivirus
Antispyware.
Firewalls o cortafuegos

MEDIDAS ANTE LA PRESENCIA DE RIESGOS

MEDIDAS DE SEGURIDAD PASIVAS.

Son medidas utilizadas para minimizar el
impacto causado cuando se presenta el
incidente. Tambin se conocen como
medidas correctivas. (se aplican despus
de ocurrido el incidente).
La recuperacin de datos usando una
copia de seguridad.
Ejecucin de un plan de contingencias.

CICLO ADMINISTRACIN DE RIESGOS

LA ADMINISTRACIN DE RIESGOS EMPRESARIALES REQUIERE:

2a
1

2b

RIESGO RESIDUAL
Es un suceso o circunstancia
indeterminada que permanece despus
de haber ejecutado todos los controles
a los riesgos

ADMINISTRACIN DEL RIESGO

DECISIN DEL RIESGO RESIDUAL

T erminar
R educir
A ceptar
P asar

DECISIN DEL RIESGO RESIDUAL

Terminar: abandonar la actividad por
excesivamente riesgosa
Reducir: fortalecer controles o
implementar nuevos controles
Aceptar: tomar el riesgo
Pasar: contratar, por ejemplo, una
pliza de seguro (ejemplo pliza de
seguros para amparar ataques
cibernticos)

SEGURIDAD FISICA

EN INFORMATICA

EN QUE CONSISTE.
La Seguridad Fsica consiste en la
proteccin del entorno Informtico
(hardware y edificios de computo)
mediante la aplicacin de barreras
fsicas y procedimientos de control,
ante posibles amenazas fsicas

VULNERABILIDADES FISICAS

Es la situacin creada por controles mal

diseados o por la falta de uno o varios
controles y que pueden crear una
amenaza que pueden afectar al
entorno informtico. Ejemplos: falta de
controles de acceso lgico, falta de
controles electricos, inexistencia de un
control de soportes magnticos, falta
de cifrado en las comunicaciones, etc

AMENAZAS PARA LA SEG FISICA

AMENAZA:
Personas o elementos vistos como
posible fuente de peligro o
catstrofe. Los mecanismos de
seguridad fsica deben resguardar de
amenazas producidas tanto por el
hombre como por la naturaleza los
recursos informticos de la empresa.

AMENAZAS FSICAS

Ejemplo de amenazas fsicas

inundaciones
incendios
Terremotos
Fugas de agua

AMENAZAS POR PERSONAS

Sabotaje internos o externos

(conductas dirigidas a causar daos al
hardware o software: accesos no
autorizados, dao o modificacion sin
autorizacion al software, Negligencia en
aplicacin de polticas de seguridad
Errores involuntarios o voluntarios en el
uso de la tecnologa informtica.
Ingeniera Social

RIESGO

RIESGO: la probabilidad de que una

amenaza llegue a suceder debido a
una vulnerabilidad con consecuencias
negativas.

CONTROLES PARA SEG FISICA

Instalacin de Alarmas.
Extintores manuales de incendios.
Sensores de temperatura.
Detectores de humo.
Ubicacin estratgica del centro de cmputos.
Paredes, pisos y cielorrasos a prueba de
incendios
Protectores de voltaje
Interruptor de energa de emergencia
No comer, beber, fumar dentro del centro de
cmputos
Humedad y Temperaturas adecuadas
Planes documentados y probados de
evacuacin de emergencia.
Adquisicin de UPS.

CONTROLES DE ACCESO FSICO

Cerraduras con combinacin.

Cerraduras electrnicas: utiliza llave, ficha o
tarjeta magntica.
Cerraduras biomtricas.
Bitcora o registro manual: libro de visitantes
que incluya nombre, motivo de la visita, fecha,
hora y firma
Cmara de video.
Guardias de Seguridad
Acceso controlado de visitantes: ej.
acompaados siempre de un empleado
responsable.
Sistema de alarma.
2 puertas de acceso ubicadas en sentidos
contrarios

SEGURIDAD LOGICA

EN QUE CONSISTE
La seguridad lgica, se refiere a la
proteccin del uso del software (datos,
programas y aplicaciones), con el fin de
mantener la integridad, la
confidencialidad y la disponibilidad de
la informacin.

OBJETIVOS
Preservar los Activos de Informacin
de la empresa para que sean
siempre utilizados de forma
autorizada.
Evitar acciones que puedan provocar
su alteracin, denegacin, borrado o
divulgacin no autorizados, de forma
accidental o intencionada

SEGURIDAD LGICA

La seguridad lgica abarca las

siguientes reas:
Aplicaciones Informticas.
Claves de acceso.
Software de control de acceso.
Encriptamiento.

AUTENTICACIN DE
USUARIOS

Objetivo
Asegurar que un usuario es quien dice ser,
cuando accede al Sistema.
En general, el proceso de autenticacin de
un usuario est basado en:
algo que sabe (contrasea);
algo que tiene (tarjeta, dispositivo, etc.);
algo que es (caractersticas biomtricas).
La utilizacin de slo uno de los mtodos
anteriores se denomina Autenticacin
Simple.

CARACTERISTICAS DE LAS
CONTRASEAS

Para la proteccin de los Activos de

Informacin de la empresa y la proteccin del
propio usuario, la contrasea:
Tiene que ser secreta y no compartida con
nadie,
No puede ser visualizada en pantalla
mientras se teclea,
No puede ser almacenada en claro (sin
cifrar).

CARACTERISTICAS DE LAS CONTRASEAS

tener una longitud mnima de 6

caracteres; o tener al menos un carcter
numrico y uno alfabtico;
no empezar ni terminar con un nmero;
no tener mas de dos caracteres iguales
consecutivos.
ser cambiada, al menos, cada 60 das
para usuarios generales y cada 30 das
para usuarios que tengan algn tipo de
privilegio o autoridad. Tiene que haber
instalado un control que informe a los
usuarios cuando su contrasea tiene que
ser cambiada;

CARACTERISTICAS DE LAS CONTRASEAS

No debe ser reutilizada hasta despus de, al

menos, 12 cambios;
no contener el identificador de usuario, como
parte de la contrasea.