Post on 23-Feb-2018
7/24/2019 Bienvenido a La Gestin de Riesgo en La Seguridad
1/19
Bienvenido a la Gestin de Riesgo en la Seguridad Informtica
La Gestin de Riesgo en la Seguridad Informtica ofrece a las organizaciones sociales
latinoamericanas algunos mtodos y herramientas sencillas, con el propsito de reconocer la
importancia y la urgente necesidad de incorporar la Seguridad Informtica en sus procesos
operativos institucionales, para proteger y garantizar no solamente el cumplimiento de sus
misiones institucionales, sino tamin la privacidad y los derechos de sus activistas, aliados y sore
todo de sus ene!ciarios "grupo meta#$
La informacin y los materiales ofrecidos, estn asados en una e%periencia prctica
centroamericana, &ue facilita el proceso de sensiilizacin sore la Seguridad Informtica y lagestin de los riesgo relacionados con el mane'o de datos e informacin$ (amin proporciona
informacin sore herramientas tcnicas, sencillas y accesiles, para la seguridad digital$
)n la seccin Gestin de Riesgose encuentran toda la informacin y los materiales sore la
Seguridad Informtica en general y el mtodo de como gestionar "analizar, clasi!car, reducir y
controlar# el riesgo$ La seccin*erramientas de +roteccinproporciona informacin respecto a
programas y mtodos para me'orar la seguridad digital$ )n escargasse encuentran todos los
materiales de apoyo y didcticos y si &uiere de'ar un comentario general o su opinin sore el
contenido de la itcora, lo puede hacer en -omentarios$
Gestin de RiesgoIntroduccin
La Gestin de Riesgo es un mtodo &ue se puede aplicar en diferentes conte%tos donde se dee
incluir y traa'ar con las consideraciones de la seguridad$
)l propsito de esta seccin es mostrar como se puede aplicar el enfo&ue de la Gestin de Riesgo
en la Seguridad Informtica y particularmente en el mito de las organizaciones sociales
centroamericanas o instituciones similares$ .l mismo tiempo se/ala los puntos cr0ticos y claves &ue
se dee reconsiderar, para &ue la gestin de riesgo sea ms e%itosa$
La metodolog0a, las herramientas y los materiales usados, estn asados en la e%periencia prctica
real, &ue se otuvo a travs del proyecto deSeguimiento al 1(aller -entroamericano .mpliando la
Liertad de )%presin2 *erramientas para la colaoracin, informacin y comunicacin seguras3de
*I45S *olanda$-omo traa'ar
La estructura del contenido aplica una metodolog0a de tipo taller, es decir cada capitulo est
compuesto por diapositivas y sus respectivas e%plicaciones complementarias, &ue sirven tanto para
el estudio individual, como posteriormente para un curso impartido por un facilitador$
La presentacin completa con todos los diapositivas "en formato +6# est disponile en la
seccin escargas$
)l curso contiene informacin terica y e'ercicios prcticos y para su me'or comprensin, se
recomienda traa'ar los temas en secuencia lgica, empezando con el tema uno$
-ontenido
7$ e!nicin de Seguridad Informtica8$ Gestin de Riesgo en la Seguridad Informtica
9$ Seguridad de la Informacin y +roteccin de atos
:$ Retos de la Seguridad
;$ )lementos de Informacin
$ ?atriz para el .nlisis de Riesgo
@$ -lasi!cacin de Riesgo
7A$ Reduccin de Riesgo
77$ -ontrol de Riesgo
7$ e!nicin de Seguridad Informtica
La Seguridad Informtica se re!ere a las caracter0sticas y condiciones de sistemas de
procesamiento de datos y su almacenamiento, para garantizar
sucon!dencialidad, integridady disponiilidad$
http://protejete.wordpress.com/http://protejete.wordpress.com/gdr_principal/http://protejete.wordpress.com/herramientas_proteccion/http://protejete.wordpress.com/descargas/http://protejete.wordpress.com/comentarios/http://protejete.wordpress.com/gdr_principal/http://protejete.wordpress.com/about/#proyectohttp://protejete.wordpress.com/about/#proyectohttp://protejete.wordpress.com/descargas/#gdrhttp://protejete.wordpress.com/gestion_rieso/definicion_si/http://protejete.wordpress.com/gestion_rieso/gestion_riesgo_si/http://protejete.wordpress.com/gestion_rieso/seguridad_informacion_proteccion/http://protejete.wordpress.com/gestion_rieso/retos_seguridad/http://protejete.wordpress.com/gestion_rieso/elementos_informacion/http://protejete.wordpress.com/gestion_rieso/amenazas_vulnerabilidades/http://protejete.wordpress.com/gestion_rieso/analisis_riesgo/http://protejete.wordpress.com/gestion_rieso/matriz_riesgo/http://protejete.wordpress.com/gestion_rieso/clasificacion_riesgo/http://protejete.wordpress.com/gestion_rieso/reduccion_riesgo/http://protejete.wordpress.com/gestion_rieso/control_riesgo/http://protejete.wordpress.com/gdr_principal/definicion_si/http://protejete.wordpress.com/glosario/#confidencialidadhttp://protejete.wordpress.com/glosario/#integridadhttp://protejete.wordpress.com/glosario/#disponibilidadhttp://protejete.wordpress.com/gdr_principal/http://protejete.wordpress.com/herramientas_proteccion/http://protejete.wordpress.com/descargas/http://protejete.wordpress.com/comentarios/http://protejete.wordpress.com/gdr_principal/http://protejete.wordpress.com/about/#proyectohttp://protejete.wordpress.com/about/#proyectohttp://protejete.wordpress.com/descargas/#gdrhttp://protejete.wordpress.com/gestion_rieso/definicion_si/http://protejete.wordpress.com/gestion_rieso/gestion_riesgo_si/http://protejete.wordpress.com/gestion_rieso/seguridad_informacion_proteccion/http://protejete.wordpress.com/gestion_rieso/retos_seguridad/http://protejete.wordpress.com/gestion_rieso/elementos_informacion/http://protejete.wordpress.com/gestion_rieso/amenazas_vulnerabilidades/http://protejete.wordpress.com/gestion_rieso/analisis_riesgo/http://protejete.wordpress.com/gestion_rieso/matriz_riesgo/http://protejete.wordpress.com/gestion_rieso/clasificacion_riesgo/http://protejete.wordpress.com/gestion_rieso/reduccion_riesgo/http://protejete.wordpress.com/gestion_rieso/control_riesgo/http://protejete.wordpress.com/gdr_principal/definicion_si/http://protejete.wordpress.com/glosario/#confidencialidadhttp://protejete.wordpress.com/glosario/#integridadhttp://protejete.wordpress.com/glosario/#disponibilidadhttp://protejete.wordpress.com/7/24/2019 Bienvenido a La Gestin de Riesgo en La Seguridad
2/19
-onsiderar aspectos de seguridad signi!ca a# conocer el peligro, #clasi!carlo y c# protegerse de los
impactos o da/os de la me'or manera posile$ )sto signi!ca &ue solamente cuando estamos
consientes de las potenciales amenazas, agresores y sus intenciones da/inas "directas o indirectas#
en contra de nosotros, podemos tomar medidas de proteccin adecuadas, para &ue no se pierda o
da/e nuestros recursos valiosos$
)n este sentido, la Seguridad Informtica sirve para la proteccin de la informacin, en contra de
amenazas o peligros, para evitar da/os y para minimizar riesgos, relacionados con ella$
8$ Gestin de Riesgo en la Seguridad Informtica
La Gestin de Riesgo es un mtodo para determinar, analizar, valorar y clasi!car el riesgo, para
posteriormente implementar mecanismos &ue permitan controlarlo$
)n su forma general contiene cuatro fases.nlisis2 etermina los componentes de un sistema &ue re&uiere proteccin, sus vulnerailidades
&ue lo deilitan y las amenazas &ue lo ponen en peligro, con el resultado de revelar su grado de
riesgo$
-lasi!cacin2 etermina si los riesgos encontrados y los riesgos restantes son aceptales$
Reduccin2 e!ne e implementa las medidas de proteccin$ .dems sensiiliza y capacita los
usuarios conforme a las medidas$
-ontrol2 .naliza el funcionamiento, la efectividad y el cumplimiento de las medidas, para
determinar y a'ustar las medidas de!cientes y sanciona el incumplimiento$
http://protejete.wordpress.com/gdr_principal/gestion_riesgo_si/http://protejete.wordpress.com/gdr_principal/gestion_riesgo_si/7/24/2019 Bienvenido a La Gestin de Riesgo en La Seguridad
3/19
(odo el proceso est asado en las llamadas pol0ticas de seguridad, normas y reglas institucionales,
&ue forman el marco operativo del proceso, con el propsito de
+otenciar las capacidades institucionales, reduciendo la vulnerailidad y limitando las amenazas
con el resultado de reducir el riesgo$
5rientar el funcionamiento organizativo y funcional$
Garantizar comportamiento homogneo$
Garantizar correccin de conductas o prcticas &ue nos hacen vulnerales$
-onducir a la coherencia entre lo &ue pensamos, decimos y hacemos$
9$ Seguridad de la Informacin y +roteccin de atos
)n la Seguridad Informticase dee distinguir dos propsitos de proteccin, la Seguridad de la
Informacin y la +roteccin de atos$
Se dee distinguir entre los dos, por&ue forman la ase y dan la razn, 'usti!cacin en la seleccin
de los elementos de informacin &ue re&uieren una atencin especial dentro del marco de la
Seguridad Informtica y normalmente tamin dan el motivo y la oligacin para su proteccin$
Sin emargo hay &ue destacar &ue, aun&ue se diferencia entre la Seguridad de la Informacin y la
+roteccin de atos como motivo o oligacin de las actividades de seguridad, las medidas de
proteccin aplicadas normalmente sern las mismas$
+ara ilustrar un poco la diferencia entre los dos, se recomiendo hacer el siguiente e'ercicio$
http://protejete.wordpress.com/gdr_principal/seguridad_informacion_proteccion/http://protejete.wordpress.com/glosario/#seg_infhttp://protejete.wordpress.com/gdr_principal/seguridad_informacion_proteccion/ejercicio/http://protejete.wordpress.com/gdr_principal/seguridad_informacion_proteccion/http://protejete.wordpress.com/glosario/#seg_infhttp://protejete.wordpress.com/gdr_principal/seguridad_informacion_proteccion/ejercicio/7/24/2019 Bienvenido a La Gestin de Riesgo en La Seguridad
4/19
)n la Seguridad de la Informacin el o'etivo de la proteccin son los datos mismos y trata de evitar
su perdida y modi!cacin nonautorizado$ La proteccin dee garantizar en primer lugar
la con!dencialidad, integridadydisponiilidadde los datos, sin emargo e%isten ms re&uisitos
como por e'emplo la autenticidadentre otros$
)l motivo o el motor para implementar medidas de proteccin, &ue responden a la Seguridad de la
Informacin, es el propio inters de la institucin o persona &ue mane'a los datos, por&ue la perdida
o modi!cacin de los datos, le puede causar un da/o "material o inmaterial#$ )ntonces en
referencia al e'ercicio con el anco, la perdida o la modi!cacin errnea, sea causado
intencionalmente o simplemente por negligencia humana, de algCn rcord de una cuenta ancaria,puede resultar en perdidas econmicas u otros consecuencias negativas para la institucin$
)n el caso de la +roteccin de atos, el o'etivo de la proteccin no son los datos en si mismo, sino
el contenido de la informacin sore personas, para evitar el auso de esta$
)sta vez, el motivo o el motor para la implementacin de medidas de proteccin, por parte de la
institucin o persona &ue mane'a los datos, es la oligacin 'ur0dica o la simple tica personal, de
evitar consecuencias negativas para las personas de las cuales se trata la informacin$
)n muchos )stados e%isten normas 'ur0dicas &ue regulan el tratamiento de los datos personales,
como por e'emplo en )spa/a, donde e%iste la 1Ley 5rgnica de +roteccin de atos de -arcter
+ersonal3 &ue tiene por o'etivo garantizar y proteger, en lo &ue concierne al tratamiento de los
datos personales, las liertades pClicas y los derechos fundamentales de las personas f0sicas, y
especialmente de su honor, intimidad y privacidad personal y familiar D7E$ Sin emargo el granprolema aparece cuando no e%isten leyes y normas 'ur0dicas &ue evitan el auso o mal uso de los
datos personales o si no estn aplicadas adecuadamente o aritrariamente$
)%isten algunas profesiones &ue, por su carcter profesional, estn reconocidos o oligados, por su
'uramento, de respetar los datos personales como por e'emplo los mdicos, aogados, 'ueces y
tamin los sacerdotes$ +ero independientemente, si o no e%isten normas 'ur0dicas, la
responsailidad de un tratamiento adecuado de datos personales y las consecuencias &ue puede
causar en el caso de no cumplirlo, recae sore cada persona &ue mane'a o tiene contacto con tal
informacin, y deer0a tener sus ra0ces en cdigos de conducta D8E, D9Ey !nalmente la tica
profesional y humana, de respetar y no per'udicar los derechos humanos y no hacer da/o$
Si revisamos otra vez los resultados del e'erciciocon el anco y en particular los elementos &ue
clasi!camos como 1Informacin -on!dencial3, nos podemos preguntar, Fde &ue manera nos podr0aper'udicar un supuesto mal mane'o de nuestros datos personales, por parte del anco, con la
consecuencia de &ue terminen en manos a'enas +ues, no hay una respuesta clara en este
momento sin conocer cul es la amenaza, es decir &uin tuviera un inters en esta informacin y
con &ue propsito
:$ Retos de la Seguridad
La e!ciente integracin de los aspectos de la Seguridad Informticaen el mito de las
organizaciones sociales centroamericanas enfrenta algunos retos muy comunes &ue estn
relacionados con el funcionamiento y las caracter0sticas de estas$
http://protejete.wordpress.com/glosario/#confidencialidadhttp://protejete.wordpress.com/glosario/#integridadhttp://protejete.wordpress.com/glosario/#disponibilidadhttp://protejete.wordpress.com/glosario/#autenticidadhttp://protejete.wordpress.com/about/referencias/#1http://protejete.wordpress.com/about/referencias/#2http://protejete.wordpress.com/about/referencias/#3http://protejete.wordpress.com/gdr_principal/seguridad_informacion_proteccion/ejercicio/http://protejete.wordpress.com/gdr_principal/retos_seguridad/http://protejete.wordpress.com/glosario/#seg_infhttp://protejete.wordpress.com/glosario/#confidencialidadhttp://protejete.wordpress.com/glosario/#integridadhttp://protejete.wordpress.com/glosario/#disponibilidadhttp://protejete.wordpress.com/glosario/#autenticidadhttp://protejete.wordpress.com/about/referencias/#1http://protejete.wordpress.com/about/referencias/#2http://protejete.wordpress.com/about/referencias/#3http://protejete.wordpress.com/gdr_principal/seguridad_informacion_proteccion/ejercicio/http://protejete.wordpress.com/gdr_principal/retos_seguridad/http://protejete.wordpress.com/glosario/#seg_inf7/24/2019 Bienvenido a La Gestin de Riesgo en La Seguridad
5/19
Los temas transversales no recien la atencin &ue merecen y muchas veces &uedan
completamente fuera de las consideraciones organizativas2 +ara todas las organizaciones y
empresas, la propia Seguridad Informtica no es un !n, sino un tema transversal &ue normalmente
forma parte de la estructura interna de apoyo$ Hadie vive o traa'a para su seguridad, sino la
implementa para cumplir sus o'etivos$
-arencia o mal mane'o de tiempo y dinero2 Implementar medidas de proteccin signi!ca invertir en
recursos como tiempo y dinero$
)l proceso de monitoreo y evaluacin, para dar seguimiento a los planes operativos est de!ciente
y no integrado en estos2 Implementar procesos y medidas de proteccin, para garantizar laseguridad, no es una cosa &ue se hace una vez y despus se olvide, sino re&uiere un control
continuo de cumplimiento, funcionalidad y una adaptacin peridica, de las medidas de proteccin
implementadas, al entorno camiante$
(odas ests circunstancias 'untas, terminan en la triste realidad, &ue la seguridad en general y la
Seguridad Informtica en particular no recie la atencin adecuada$ )l error ms comCn &ue se
comete es &ue no se implementa medidas de proteccin, hasta &ue despus del desastre, y las
escusas o razones del por&ue no se hizohace nada al respecto aundan$
)nfrentarse con esta realidad y evitando o reduciendo los da/os a un nivel aceptale, lo hace
necesario traa'ar en la 1Gestin de riesgo1, es decir a# conocer el peligro, # clasi!carlo y c#
protegerse de los impactos o da/os de la me'or manera posile$
+ero una uena Gestin de riesgos no es una tarea Cnica sino un proceso dinmico y permanente&ue tiene &ue estar integrado en los procesos "cotidianos# de la estructura institucional, &ue dee
incluir a todas y todos los funcionarios JJla falla el eslan ms dil de la cadenaKK y &ue re&uiere
el reconocimiento y apoyo de las directiva$ Sin estos caracter0sticas esenciales no estn
garantizados, las medidas de proteccin implementadas no funcionarn y son una perdida de
recursos$
;$ )lementos de Informacin
Los )lementos de informacin son todos los componentes &ue contienen, mantienen o guardan
informacin$ ependiendo de la literatura, tamin son llamados .ctivos o Recursos$
http://protejete.wordpress.com/glosario/#gdrhttp://protejete.wordpress.com/gdr_principal/elementos_informacion/http://protejete.wordpress.com/glosario/#gdrhttp://protejete.wordpress.com/gdr_principal/elementos_informacion/7/24/2019 Bienvenido a La Gestin de Riesgo en La Seguridad
6/19
Son estos los .ctivos de una institucin &ue tenemos &ue proteger, para evitar su perdida,
modi!cacin o el uso inadecuado de su contenido, para impedir da/os para nuestra institucin y las
personas presentes en la informacin$
Generalmente se distingue y divide tres grupos
atos e Informacin2 son los datos e informaciones en si mismo
Sistemas e Infraestructura2 son los componentes donde se mantienen o guardan los datos e
informaciones
+ersonal2 son todos los individuos &ue mane'an o tienen acceso a los datos e informaciones y son
los activos ms dif0ciles de proteger, por&ue son mviles, pueden camiar su a!liacin y son
impredeciles
7/24/2019 Bienvenido a La Gestin de Riesgo en La Seguridad
7/19
esde el punto de vista de la entidad &ue mane'a los datos, e%isten amenazas de origen e%terno
como por e'emplo las agresiones tcnicas, naturales o humanos, sino tamin amenazas de origen
interno, como la negligencia del propio personal o las condiciones tcnicas, procesos operativos
internos "Hota2 e%isten conceptos &ue de!enden la opinin &ue amenazas siempre tienen carcter
e%ternoK#
Generalmente se distingue y divide tres grupos
-riminalidad2 son todas las acciones, causado por la intervencin humana, &ue violan la ley y &ue
estn penadas por esta$ -on criminalidad pol0tica se entiende todas las acciones dirigido desde el
goierno hacia la sociedad civil$Sucesos de origen f0sico2 son todos los eventos naturales y tcnicos, sino tamin eventos
indirectamente causados por la intervencin humana$
Hegligencia y decisiones institucionales2 son todas las acciones, decisiones u omisiones por parte
de las personas &ue tienen poder e inMuencia sore el sistema$ .l mismo tiempo son las amenazas
menos predeciles por&ue estn directamente relacionado con el comportamiento humano$
)%isten amenazas &ue dif0cilmente se de'an eliminar "virus de computadora# y por eso es la tarea
de la gestin de riesgo de preverlas, implementar medidas de proteccin para evitar o minimizar
los da/os en caso de &ue se realice una amenaza$
+ara mostrar algunas de las amenazas ms preocupantes, consultamos dos estad0sticas, el primer
grafo sale de la 1)ncuesta sore Seguridad y -rimen de -omputacin N 8AA>O del Instituto deSeguridad de -omputacin "-SI por sus siglas en ingls# &ue ase en :99 respuestas de diferentes
entidades privadas y estatales en los ))$ D
7/24/2019 Bienvenido a La Gestin de Riesgo en La Seguridad
8/19
7/24/2019 Bienvenido a La Gestin de Riesgo en La Seguridad
9/19
La clasi!cacin de datos tiene el propsito de garantizar la proteccin de datos "personales# y
signi!ca de!nir, dependiendo del tipo o grupo de personas internas y e%ternas, los diferentes
niveles de autorizacin de acceso a los datos e informaciones$ -onsiderando el conte%to de nuestra
misin institucional, tenemos &ue de!nir los niveles de clasi!cacin como por e'emplo2 con!dencial,
privado, sensitivo y pClico$ -ada nivel de!ne por lo menos el tipo de persona &ue tiene derecho de
acceder a los datos, el grado y mecanismo de autenticacin$
na vez clasi!cada la informacin, tenemos &ue veri!car los diferentes Mu'os e%istentes de
informacin internos y e%ternos, para saer &uienes tienen acceso a &ue informacin y datos$
-lasi!car los datos y analizar el Mu'o de la informacin a nivel interno y e%terno es importante,por&ue amas cosas inMuyen directamente en el resultado del anlisis de riesgo y las consecuentes
medidas de proteccin$ +or&ue solo si saemos &uienes tienen acceso a &ue datos y su respectiva
clasi!cacin, podemos determinar el riesgo de los datos, al sufrir un da/o causado por un acceso no
autorizado$
.nlisis de Riesgo
)%isten varios mtodos de como valorar un riesgo y al !nal, todos tienen los mismos retos las
variales son dif0ciles de precisar y en su mayor0a son estimaciones y llegan casi a los mismos
resultados y conclusiones$
)n el mito de la Seguridad Informtica, el mtodo ms usado es el .nlisis de Riesgo$
La valoracin del riesgo asada en la formula matemtica
Riesgo +roailidad de .menaza % ?agnitud de a/o+ara la presentacin del resultado "riesgo# se usa una gr!ca de dos dimensiones, en la cual, el e'e
% "horizontal, ascisa# representa la 1+roailidad de .menaza3 y el e'ey "vertical, ordenada# la
1?agnitud de a/o3$ La +roailidad de .menaza y ?agnitud de a/o pueden tomar condiciones
entre Insigni!cante "7# y .lta ":#$ )n la practica no es necesario asociar valores aritmticos a las
condiciones de las variales, sin emargo facilita el uso de herramientas tcnicas como ho'as de
calculo$
Hota2 La escala ": condiciones# de la +roailidad de .menaza y ?agnitud de a/o no es !'o y
puede ser adaptada y a!nada a las necesidades propias$ )n diferentes literaturas, particularmente
la +roailidad de .menaza puede tomar hasta seis diferentes condiciones$
-omo mencion, el reto en la aplicacin del mtodo es precisar o estimar las condiciones "valores#
de las dos variales, por&ue no asen en parmetros claramente mediles$ Sin emargo, el anlisisde riesgo nos permite uicar el riesgo y conocer los factores &ue inMuyen, negativa o
positivamente, en el riesgo$
)n el proceso de analizar un riesgo tamin es importante de reconocer &ue cada riesgo tiene sus
caracter0sticas D:E2
inmico y camiante "Interaccin de .menazasy 4ulnerailidad#
iferenciado y tiene diferentes caracteres "caracteres de 4ulnerailidad#
Ho siempre es perciido de igual manera entre los miemros de una institucin &ue talvez puede
terminar en resultados inadecuados y por tanto es importante &ue participan las personas
http://protejete.wordpress.com/glosario/#seg_infhttp://protejete.wordpress.com/about/referencias/#4http://protejete.wordpress.com/glosario/#amenazahttp://protejete.wordpress.com/glosario/#vulnerabilidadhttp://protejete.wordpress.com/glosario/#seg_infhttp://protejete.wordpress.com/about/referencias/#4http://protejete.wordpress.com/glosario/#amenazahttp://protejete.wordpress.com/glosario/#vulnerabilidad7/24/2019 Bienvenido a La Gestin de Riesgo en La Seguridad
10/19
especialistas de los diferentes elementos del sistema "-oordinacin, .dministracin !nanciera,
(cnicos, -onser'e, Soporte tcnico e%terno etc$#
)l modelo se pude aplicar a los diferentes elementos de manera aislado, sino tamin al sistemas
completa, aun&ue en el primer caso, el resultado !nal ser ms preciso pero tamin re&uiere ms
esfuerzo$
)ntre ms alta la +roailidad de .menaza y ?agnitud de a/o, ms grande es el riesgo y el
peligro al sistema, lo &ue signi!ca &ue es necesario implementar medidas de proteccin$
+roailidad de .menaza
Se hala de un .ta&ue, cuando una amenaza se convirti en realidad, es decir cuando un evento se
realiz$ +ero el ata&ue no dice nada sore el %ito del evento y s0 o no, los datos e informacionesfueron per'udicado respecto a sucon!dencialidad, integridad, disponiilidady autenticidad$
+ara estimar la +roailidad de .menaza nos podemos hacer algunas preguntas
F-ul es el inters o la atraccin por parte de individuos e%ternos, de atacarnos .lgunas razones
pueden ser &ue mane'amos informacin &ue contiene novedades o inventos, informacin
comprometedora etc, talvez tenemos competidores en el traa'o, negocio o simplemente por el
imagen o posicin pClica &ue tenemos$
F-ules son nuestras vulnerailidades )s importante considerar todos los grupos de
vulnerailidades$ (amin se recomienda incluir los e%pertos, especialistas de las diferentes reas
de traa'o para otener una imagen ms completa y ms detallada sore la situacin interna y el
entorno$F-untas veces ya han tratado de atacarnos .ta&ues pasados nos sirven para identi!car una
amenaza y si su ocurrencia es frecuente, ms grande es la proailidad &ue pasar otra vez$ )n el
caso de &ue ya tenemos implementadas medidas de proteccin es importante llevar un registro,
&ue muestra los casos cuando la medida se aplico e%itosamente y cuando no$ +or&ue de tal
manera, saemos en primer lugar si todav0a e%iste la amenaza y segundo, cul es su riesgo actual$
-onsiderando todos los puntos anteriores, nos permite clasi!car la +roailidad de .menaza$ Sin
emargo, antes tenemos &ue de!nir el signi!cado de cada condicin de la proailidad "Ba'a,
?ediana, .lta#$ Las de!niciones mostradas en la imagen anterior solo son un e'emplo apro%imado,
pero no necesariamente reMe'a la realidad y la opinin comCn y por tanto se recomienda &ue cada
institucin de!na sus propias condiciones$
?agnitud de a/o
http://protejete.wordpress.com/glosario/#confidencialidadhttp://protejete.wordpress.com/glosario/#integridadhttp://protejete.wordpress.com/glosario/#disponibilidadhttp://protejete.wordpress.com/glosario/#autenticidadhttp://protejete.wordpress.com/glosario/#confidencialidadhttp://protejete.wordpress.com/glosario/#integridadhttp://protejete.wordpress.com/glosario/#disponibilidadhttp://protejete.wordpress.com/glosario/#autenticidad7/24/2019 Bienvenido a La Gestin de Riesgo en La Seguridad
11/19
Se hala de un Impacto, cuando un ata&ue e%itoso per'udic la con!dencialidad, integridad,
disponiilidad y autenticidad de los datos e informaciones$
)stimar la ?agnitud de a/o generalmente es una tarea muy comple'a$ La manera ms fcil es
e%presar el da/o de manera cualitativa, lo &ue signi!ca &ue aparte del da/o econmico, tamin se
considera otros valores como da/os materiales, imagen, emocionales, entre otros$ )%presarlo de
manera cuantitativa, es decir calcular todos los componentes en un solo da/o econmico, resulta
en un e'ercicio aun ms comple'o y e%tenso$
.un&ue conozcamos ien el impacto de un ata&ue e%itoso, sus consecuencias pueden ser mCltiples,
a veces son imprevisiles y dependen mucho del conte%to donde mane'amos la informacin, sea en
una 5HG "derechos humanos, centro de informacin etc$#, en una empresa privada "anco, cl0nica,
produccin etc$#, en una institucin )statal o en el mito privado$ 5tro factor decisivo, respecto alas consecuencias, es tamin el entorno donde nos uicamos, es decir cuales son las Leyes y
prcticas comunes, culturales &ue se aplica para sancionar el incumplimiento de las normas$
n punto muy esencial en el anlisis de las consecuencias es la diferenciacin entre los dos
propsitos de proteccin de la Seguridad Informtica, la Seguridad de la Informacin y la +roteccin
de datos, por&ue nos permite determinar, &uien va a sufrir el da/o de un impacto, nosotros, otros o
amos$ )n todo caso, todos nuestros comportamientos y decisiones dee ser dirigidos por una
conciencia responsale, de no causar da/o a otros, aun&ue su realidad no tenga consecuencias
negativas$
7/24/2019 Bienvenido a La Gestin de Riesgo en La Seguridad
12/19
5tras preguntas &ue podemos hacernos para identi!car posiles consecuencias negativas causadas
por un impacto son2
F)%isten condiciones de incumplimiento de con!dencialidad "interna y e%terna# )sto normalmente
es el caso cuando personas nonautorizados tienen acceso a informacin y conocimiento a'eno &ue
pondr en peligro nuestra misin$
F)%isten condiciones de incumplimiento de oligacin 'ur0dicas, contratos y convenios Ho cumplir
con las normas legales fcilmente puede culminar en sanciones penales o econmicas, &ue
per'udican nuestra misin, e%istencia laoral y personal$
F-ul es el costo de recuperacin Ho solo hay &ue considerar los recursos econmicos, tiempo,materiales, sino tamin el posile da/o de la imagen pClica y emocional$
-onsiderando todos los aspectos mencionados, nos permite clasi!car la ?agnitud del a/o$ Sin
emargo, otra vez tenemos &ue de!nir primero el signi!cado de cada nivel de da/o "Ba'a, ?ediana,
.lta#$ Las de!niciones mostradas en la imagen anterior solo son un e'emplo apro%imado, pero no
necesariamente reMe'a la realidad y la opinin comCn y por tanto se recomienda &ue cada
institucin de!na sus propios niveles$
)n referencia al folleto J+ongmos las pilasK D;E, se recomienda leer el capitulo 1.spectos principales
para una pol0tica interna de seguridad de la informacin3, pgina 8> a 9;, donde se aorda los
temas de Mu'o de datos "pgina 8@ y 9A# y algunas amenazas espec0!cas &ue se encontraron,
traa'ando con las organizaciones sociales centroamericanas$
>$ ?atriz para el .nlisis de Riesgo
Introduccin
La ?atriz para el .nlisis de Riesgo, es producto del proyecto de Seguimiento al 1(aller
-entroamericano .mpliando la Liertad de )%presin2 *erramientas para la colaoracin,
informacin y comunicacin seguras3y fue punto clave en analizar y determinar los riesgos en el
mane'o de los datos e informacin de las organizaciones sociales participantes$ La ?atriz, &ue as
en una ho'a de calculo, no dar un resultado detallado sore los riesgos y peligros de cada recurso
"elemento de informacin# de la institucin, sino una mirada apro%imada y generalizada de estos$
*ay &ue tomar en cuenta &ue el anlisis de riesgo detallado, es un traa'o muy e%tenso y
consumidor de tiempo, por&ue re&uiere &ue se compruee todos los posiles da/os de cada recursode una institucin contra todas las posiles amenazas, es decir terminar0amos con un sinnCmero de
grafos de riesgo &ue deer0amos analizar y clasi!car$ +or otro lado, hay &ue reconocer &ue la
mayor0a de las organizaciones sociales centroamericanas "el grupo meta del proyecto#, ni cuentan
con personal tcnico espec0!co para los e&uipos de computacin, ni con recursos econmicos o
mucho tiempo para dedicarse o preocuparse por la seguridad de la informacin &ue mane'an y en
muchas ocasiones tampoco por la formacin adecuada de sus funcionarios en el mane'o de las
herramientas informticas$
)ntonces lo &ue se pretende con el enfo&ue de la ?atriz es localizar y visualizar los recursos de una
organizacin, &ue estn ms en peligro de sufrir un da/o por algCn impacto negativo, para
posteriormente ser capaz de tomar las decisiones y medidas adecuadas para la superacin de lasvulnerailidades y la reduccin de las amenazas$
escargar la ?atriz
)l formato "vac0o# de la ?atriz en versin 5pen5ce y ?icrosoft )%cel, ms algunos documentos de
apoyo, se puede otener en la seccin escargas$
6undamento de la ?atriz
La ?atriz la as en el mtodo de .nlisis de Riesgo con un grafo de riesgo, usando la
formula Riesgo +roailidad de .menaza % ?agnitud de a/o
La +roailidad de .menazay ?agnitud de a/o pueden tomar los valores y condiciones
respectivamente
7 Insigni!cante "incluido Hinguna#
8 Ba'a
9 ?ediana
: .lta
http://protejete.wordpress.com/about/referencias/#5http://protejete.wordpress.com/gdr_principal/matriz_riesgo/http://protejete.wordpress.com/glosario/#analisishttp://protejete.wordpress.com/about/#proyectohttp://protejete.wordpress.com/about/#proyectohttp://protejete.wordpress.com/about/#proyectohttp://protejete.wordpress.com/descargas/http://protejete.wordpress.com/glosario/#amenazahttp://protejete.wordpress.com/about/referencias/#5http://protejete.wordpress.com/gdr_principal/matriz_riesgo/http://protejete.wordpress.com/glosario/#analisishttp://protejete.wordpress.com/about/#proyectohttp://protejete.wordpress.com/about/#proyectohttp://protejete.wordpress.com/about/#proyectohttp://protejete.wordpress.com/descargas/http://protejete.wordpress.com/glosario/#amenaza7/24/2019 Bienvenido a La Gestin de Riesgo en La Seguridad
13/19
)l Riesgo, &ue es el producto de la multiplicacin +roailidad de .menaza por ?agnitud de a/o,
est agrupado en tres rangos, y para su me'or visualizacin, se aplica diferentes colores$
Ba'o Riesgo 7 N < "verde#?edio Riesgo > N @ "amarillo#
.lto Riesgo 78 N 7< "ro'o#
so de la ?atriz
La ?atriz verdadera la as en un archivo con varias ho'as de calculo &ue superan el tama/o de
una simple pantalla de un monitor$ )ntonces por razones demostrativas, en las siguientes imgenes
solo se muestra una fraccin de ella$
La ?atriz contiene una coleccin de diferentes .menazas "campos verdes# y)lementos de
informacin"campos ro'os#$ +ara llenar la ?atriz, tenemos &ue estimar los valores de la
+roailidad de .menaza "campos azules# por cada .menaza y la ?agnitud de a/o "campos
amarillas# por cada )lemento de Informacin$
+ara la estimacin de la +roailidad de amenazas, se traa'a con un valor generalizado, &ue
"solamente# est relacionado con el recurso ms vulnerale de los elementos de informacin, sin
emargo usado para todos los elementos$ Si por e'emplo e%iste una gran proailidad de &ue nos
pueden roar documentos y e&uipos en la o!cina, por&ue ya entraron varias veces y no contamos
todav0a con una uena vigilancia nocturna de la o!cina, no se distingue en este momento entre la
proailidad si roarn una porttil, &ue est en la o!cina "con gran proailidad se van a llevarla#,
o si roarn un documento &ue est encerrado en una ca'a fuerte escondido "es menos proale
&ue se van a llevar este documento#$)ste proceder oviamente introduce algunos resultados falsos respecto al grado de riesgo "algunos
riesgos saldrn demasiado altos#, algo &ue posteriormente tendremos &ue corregirlo$ Sin emargo,
e%cluir algunos resultados falsos todav0a es mucho ms rpido y arato, &ue hacer un anlisis de
riesgo detallado, sore todo cuando el enfo&ue solo es comatir los riesgos ms graves$
)n el caso de &ue se determine los valores para la +roailidad de .menaza y ?agnitud de a/o a
travs de un proceso participativo de traa'o en grupo "grande#, se recomienda primero llenar los
!chas de apoyo "disponile enescargas# para los )lementos de Informacin y +roailidad de
.menaza, y una vez consolidado los datos, llenar la matriz$
http://protejete.wordpress.com/glosario/#elementoshttp://protejete.wordpress.com/glosario/#elementoshttp://protejete.wordpress.com/descargas/#fichashttp://protejete.wordpress.com/glosario/#elementoshttp://protejete.wordpress.com/glosario/#elementoshttp://protejete.wordpress.com/descargas/#fichas7/24/2019 Bienvenido a La Gestin de Riesgo en La Seguridad
14/19
ependiendo de los valores de la +roailidad de .menaza y la ?agnitud de a/o, la ?atriz calcula
el producto de amos variales y visualiza el grado de riesgo$
ependiendo del color de cada celda, podemos sacar conclusiones no solo sore el nivel de riesgo
&ue corre cada elemento de informacin de sufrir un da/o signi!cativo, causado por una amenaza,
sino tamin sore las medidas de proteccin necesarias
+roteger los datos de RR$**, 6inanzas contra virus
+roteger los datos de 6inanzas y el -oordinador contra roo
)vitar &ue se compartan las contrase/as de los porttiles
)tc, etc
(amin, como se mencion anteriormente, e%isten cominaciones &ue no necesariamente tienen
mucho sentido y por tanto no se las considera para de!nir medidas de proteccin
+roteger el +ersonal "-oordinador y +ersonal tcnico# contra 4irus de computacin
)vitar la falta de corriente para el -oordinador
)tc, etc
)lementos de la ?atriz
La ?atriz la as en una ho'a de calculo$ )%iste la versin en 5pen5ce y ?icrosoft +oTer+oint y se
recomienda usar el formato &ue corresponde con el sistema operativo donde se la usa, deido aalgunos prolemas de compatiilidad entre amos formatos$
La ?atriz est compuesto por < ho'as
7Uatos2 )s la ho'a para valorar el riesgo para los )lementos de Informacin 1atos e
Informaciones3, llenando los campos 1?agnitud de a/o3 y 1+roailidad de .menaza3 conforme a
sus valores estimados "solo estn permitidos valores entre 7 y :#$ Los valores de +roailidad de
.menaza solo se aplica en est ho'a, por&ue las dems ho'as, hacen referencia a estos$ Los tres
campos de 1-lasi!cacin3 "-on!dencialV, 5ligacin por leyV, -osto de recuperacinV# no tienen
ningCn efecto sore el resultado de riesgo y no necesariamente tiene &ue ser llenados$ Sin emargo
pueden ser usados como campos de apoyo, para 'usti!car o surayar el valor de ?agnitud de a/o
estimado$ )n caso de usarlo, hay &ue marcar los campos respectivos con una 1%3 "cual&uiercominacin de los campos est permitido, todos marcados, todos vac0os etc$#$
8USistemas2 )s la ho'a para valorar el riesgo para los )lementos de Informacin 1Sistemas e
Infraestructura3$ *ay &ue llenar solo los valores de ?agnitud de a/o, deido a &ue los valores de
+roailidad de .menaza estn copiados automticamente desde la ho'a 17Uatos3$ Igual como en
17Uatos3, los tres campos de 1-lasi!cacin3 ".cceso e%clusivo, .cceso ilimitado, -osto de
recuperacinV# otra vez no tienen ningCn efecto sore el resultado de riesgo y solo sirven como
campo de apoyo$
9U+ersonal2 )s la ho'a para valorar el riesgo para los )lementos de Informacin 1+ersonal3$ Igual
como en 18USistemas3, solo hay &ue llenar los valores de ?agnitud de a/o$ 5tra vez, los tres
campos de 1-lasi!cacin3 "Imagen pClicaV, +er!l medioV, +er!l a'oV# solo sirven como campo
de apoyo$
.nlisisU+romedio2 )sta ho'a muestra el promedio aritmtico de los diferentes riesgos, en relacin
con los diferentes grupos de amenazas y da/os$ La idea de esta ho'a es ilustrar, en &ue grupo
"cominacin de +roailidad de .menaza y ?agnitud de a/o# hay mayor o menor peligro$ Ho hay
nada &ue llenar en esta ho'a$
.nlisisU6actores2 )sta ho'a tiene el mismo propsito como la ho'a 1.nlisisU+romedio3, con la
diferencia &ue esta vez el promedio aritmtico de los grupos est mostrado en un grafo,
dependiendo de la +roailidad de .menaza y ?agnitud de a/o$ La linea amarilla muestra el
traspaso de la zona Ba'o Riesgo a ?ediano Riesgo y la linea ro'a, el traspaso de ?ediano riesgo a
http://protejete.wordpress.com/glosario/#confidencialidadhttp://protejete.wordpress.com/glosario/#confidencialidad7/24/2019 Bienvenido a La Gestin de Riesgo en La Seguridad
15/19
.lto Riesgo$ La idea de esta ho'a es ilustrar el nivel de peligro por grupo y la inMuencia de cada
factor "+roailidad de amenaza, ?agnitud de a/o#$
6uente2 )sta ho'a se usa solo para la de!nicin de algunos valores generales de la matriz$
.daptacin de la ?atriz a las necesidades individuales
La ?atriz traa'a con una coleccin de diferentes .menazas y )lementos de informacin$ .mas
colecciones solo representan una apro%imacin a la situacin comCn de una organizacin, pero no
necesariamente reMe'an la realidad de una organizacin especi!ca$ )ntonces si hay necesidad de
adaptar la ?atriz a la situacin real de una organizacin, solo hay &ue a'ustar los valores de
las .menazas en la ho'a 17Uatos3 "solo en esta# y los )lementos de informacin en su ho'acorrespondiente$ +ero o'o, si hay &ue insertar, &uitar !las o columnas, se recomienda hacerlo con
mucho cuidado, deido a &ue se corre el peligro de introducir errores en la presentacin y el calculo
de los resultados$
@$ -lasi!cacin de Riesgo
)l o'etivo de la clasi!cacin de riesgo es determinar hasta &ue grado es factile comatir los
riesgos encontrados$ La factiilidad normalmente depende de la voluntad y posiilidad econmica
de una institucin, sino tamin del entorno donde nos uicamos$ Los riesgos &ue no &ueremos o
podemos comatir se llaman riesgos restantes y no hay otra solucin &ue aceptarlos$
Implementar medidas para la reduccin de los riesgos signi!ca realizar inversiones, en general
econmicas$ )l reto en de!nir las medidas de proteccin, entonces est en encontrar un uene&uilirio entre su funcionalidad "cumplir con su o'etivo# y el esfuerzo econmico &ue tenemos
&ue hacer para la implementacin y el mane'o de estas$
e igual manera como deemos evitar la escasez de proteccin, por&ue nos de'a en peligro &ue
pueda causar da/o, el e%ceso de medidas y procesos de proteccin, pueden fcilmente paralizar los
procesos operativos e impedir el cumplimiento de nuestra misin$ )l caso e%tremo respecto al
e%ceso de medidas ser0a, cuando las inversiones para ellas, superen el valor del recurso &ue
pretenden proteger$
)ntonces el estado &ue uscamos es, &ue los esfuerzos econmicos &ue realizamos y los procesos
operativos, para mantener las medidas de proteccin, son su!cientes, a'ustados y optimizados,
para &ue respondan e%itosamente a las amenazas y deilidades "vulnerailidades# &ue
enfrentamos$
http://protejete.wordpress.com/gdr_principal/clasificacion_riesgo/http://protejete.wordpress.com/glosario/#vulnerabilidadhttp://protejete.wordpress.com/gdr_principal/clasificacion_riesgo/http://protejete.wordpress.com/glosario/#vulnerabilidad7/24/2019 Bienvenido a La Gestin de Riesgo en La Seguridad
16/19
7/24/2019 Bienvenido a La Gestin de Riesgo en La Seguridad
17/19
reduciendo as0 nuestras vulnerailidades &ue estn e%puestas a las amenazas &ue enfrentamos$
Las medidas normalmente no tienen ningCn efecto sore la ?agnitud de a/o, &ue depende de
los )lementos de Informaciny del conte%to, entorno donde nos uicamos$ )s decir, no se trata y
muy dif0cilmente se puede camiar el valor o la importancia &ue tienen los datos e informaciones
para nosotros, tampoco vamos a camiar el conte%to, ni el entorno de nuestra misin$
)n referencia al folleto J+ongmos las pilasK D;E, en el capitulo 1F-mo podemos prevenir para no
lamentar3, pgina 88 a 8=, se aorda algunas medidas de proteccin contra amenazas muy
comunes$
La fuerza y el alcance de las medidas de proteccin, dependen del nivel de riesgo
.lto riesgo2 ?edidas deen evitar el impacto y da/o$?edio riesgo2 ?edidas solo mitigan la magnitud de da/o pero no evitan el impacto$
-onsiderando &ue la implementacin de medidas de proteccin estn en directa relacin con
inversiones de recursos econmicos y procesos operativos, es ms &ue ovio, &ue las medidas,
para evitar un da/o, resultarn "mucho# ms costosas y comple'as, &ue las &ue solo mitigan un
da/o$
+ara &ue las medias sean e%itosas, es esencial &ue siempre veri!camos su factiilidad, es decir &ue
tcnicamente funcionan y cumplen su propsito, &ue estn incorporadas en los procesos operativos
institucionales y &ue las personas se apropian de ests$ )s indispensale &ue estn respaldadas,
aproadas por aplicadas por la coordinacin, por&ue sino, pierden su crediilidad$ (amin signi!ca
&ue deen ser dise/adas de tal manera, &ue no paralizan o ostaculizan los procesos operativospor&ue deen apoyar el cumplimiento de nuestra misin, no impedirlo$
5tro punto clave es, &ue las personas &ue deen aplicar y apropiarse de las medias saen sore su
e%istencia, propsito e importancia y son capacitadas adecuadamente en su uso, de tal manera,
&ue las ven como una necesidad institucional y no como otro cortapisa laoral$
eido a &ue la implementacin de las medidas no es una tarea aislada, Cnica, sino un proceso
continuo, su mane'o y mantenimiento dee estar integrado en el funcionamiento operativo
institucional, respaldado por normas y reglas &ue regulan su aplicacin, control y las sanciones en
caso de incumplimiento$
77$ -ontrol de Riesgo
)l propsito del control de riesgo es analizar el funcionamiento, la efectividad y el cumplimiento delas medidas de proteccin, para determinar y a'ustar sus de!ciencias$
Las actividades del proceso, tienen &ue estar integradas en el plan operativo institucional, donde se
de!ne los momentos de las intervenciones y los responsales de e'ecucin$
?edir el cumplimiento y la efectividad de las medidas de proteccin re&uiere &ue levantemos
constantemente registros sore la e'ecucin de las actividades, los eventos de ata&ues y sus
respectivos resultados$ )stos tenemos &ue analizados frecuentemente$ ependiendo de la
gravedad, el incumplimiento y el sorepasar de las normas y reglas, re&uieren sanciones
institucionales para los funcionarios$
http://protejete.wordpress.com/glosario/#elementoshttp://protejete.wordpress.com/about/referencias/#5http://protejete.wordpress.com/gdr_principal/control_riesgo/http://protejete.wordpress.com/glosario/#elementoshttp://protejete.wordpress.com/about/referencias/#5http://protejete.wordpress.com/gdr_principal/control_riesgo/7/24/2019 Bienvenido a La Gestin de Riesgo en La Seguridad
18/19
)n el proceso continuo de la Gestin de riesgo, las conclusiones &ue salen como resultado del
control de riesgo, nos sirven como fuente de informacin, cuando se entra otra vez en el proceso de
la .nlisis de riesgo$
*erramientas de +roteccin
-a'a de *erramientas de Seguridad
-omponente integral del proyecto de Seguimiento al 1(aller -entroamericano .mpliando la Liertad
de )%presin2 *erramientas para la colaoracin, informacin y comunicacin seguras3fue la
promocin y uso de las herramientas ofrecidas a travs de la -a'a de *erramientas de Seguridad
"security inao%#$La -a'a de *erramientas de Seguridad es un esfuerzo colaorativo entre(actical (echnology
-ollectivey 6ront Line$ Incluye una Gu0a +aso a +aso, la cual se ocupa de varios temas de seguridad
digital$ (amin proporciona una coleccin muy completa de Gu0as +rcticas, cada una de las
cuales incluye una herramienta espec0!ca de softTare gratuito o de cdigo aierto, as0 como las
instrucciones necesarias sore cmo utilizar dicha herramienta para asegurar tu computadora,
proteger tu informacin o mantener la privacidad de tus comunicaciones por Internet$
.un&ue la gran mayor0a de las herramientas tamin e%isten para los sistemas operativos aiertos,
como por e'emplo untu, hasta la fecha, solo estn incluidas las herramientas y los manuales de
instalacin para amientes de ?icrosoft WindoTs$
)n referencia al folleto J+ongmos las pilasK D;E, en la pgina 9@, se encuentra una lista con algunasherramientas adicionales recomendadas$
Glosario
.menaza2 )s la posiilidad de ocurrencia de cual&uier tipo de evento o accin &ue puede producir
da/o "material o inmaterial# sore los elementos "activos, recursos# de un sistema$ "lee informacin
detallada#
.ta&ue2 )s una amenaza &ue se convirti en realidad, es decir cuando un evento se realizo$ Ho dice
nada si o no el evento fue e%itoso$
.utenticidad2 La legitimidad y crediilidad de una persona, servicio o elemento dee ser
comproale$
-on!dencialidad2 atos solo pueden ser legiles y modi!cados por personas autorizados, tanto en
el acceso a datos almacenados como tamin durante la transferencia de ellos$
isponiilidad2 .cceso a los datos dee ser garantizado en el momento necesario$ *ay &ue evitar
fallas del sistema y proveer el acceso adecuado a los datos$
)lementos de Informacin2 (amin 1.ctivos3 o 1Recursos3 de una institucin &ue re&uierenproteccin, para evitar su perdida, modi!cacin o el uso inadecuado de su contenido, para impedir
da/os para la institucin y las personas &ue salen en la informacin$ Se distingue y divide tres
grupos, a# atos e Informacin, # Sistemas e Infraestructura y c# +ersonal$ "lee informacin
detallada#
Gestin de Riesgo2 ?todo para determinar, analizar, valorar y clasi!car el riesgo, para
posteriormente implementar mecanismos &ue permitan controlarlo$ )st compuesta por cuatro
fases2 7# .nlisis, 8# -lasi!cacin, 9# Reduccin y :# -ontrol de Riesgo$
Integridad2 atos son completos, nonmodi!cados y todos los camios son reproduciles "se conoce
el autor y el momento del camio#$
Seguridad Informtica2 +rocesos, actividades, mecanismos &ue consideran las caracter0sticas y
condiciones de sistemas de procesamiento de datos y su almacenamiento, para garantizar su
con!dencialidad, integridad y disponiilidad$
4ulnerailidad2 Son la capacidad, las condiciones y caracter0sticas del sistema mismo "incluyendo la
entidad &ue lo mane'a#, &ue lo hace susceptile a amenazas, con el resultado de sufrir algCn
da/o$ "lee informacin detallada#
http://protejete.wordpress.com/herramientas_proteccion/http://protejete.wordpress.com/about/#proyectohttp://protejete.wordpress.com/about/#proyectohttp://es.security.ngoinabox.org/http://es.security.ngoinabox.org/http://www.tacticaltech.org/http://www.tacticaltech.org/http://www.frontlinedefenders.org/es/http://www.ubuntu.com/http://protejete.wordpress.com/about/referencias/#5http://protejete.wordpress.com/glosario/http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/http://protejete.wordpress.com/gdr_principal/elementos_informacion/http://protejete.wordpress.com/gdr_principal/elementos_informacion/http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/#vulnerabilidadhttp://protejete.wordpress.com/herramientas_proteccion/http://protejete.wordpress.com/about/#proyectohttp://protejete.wordpress.com/about/#proyectohttp://es.security.ngoinabox.org/http://es.security.ngoinabox.org/http://www.tacticaltech.org/http://www.tacticaltech.org/http://www.frontlinedefenders.org/es/http://www.ubuntu.com/http://protejete.wordpress.com/about/referencias/#5http://protejete.wordpress.com/glosario/http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/http://protejete.wordpress.com/gdr_principal/elementos_informacion/http://protejete.wordpress.com/gdr_principal/elementos_informacion/http://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/#vulnerabilidad7/24/2019 Bienvenido a La Gestin de Riesgo en La Seguridad
19/19