Tutorial de Arcgis Para El Analisis de Una Cuenca Primera Parte
Analisis de riego primera parte
-
Upload
jesus-vilchez -
Category
Documents
-
view
506 -
download
6
Transcript of Analisis de riego primera parte
![Page 1: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/1.jpg)
Datos del Profesor: Ing. Jesús Vílchez Sandoval
CIP 129615 email:[email protected]
http://jesusvilchez.wordpress.com móvil: (51)99 407*1449 / (51)9 9368 0094
Coordinador de la Oficina de Calidad y Acreditación - FIEM
![Page 2: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/2.jpg)
Ing. Jesús Vílchez Sandoval
Sistemas de
SEGURIDAD EN REDES Basado en la presentación del Mg. Jean del Carpio
![Page 3: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/3.jpg)
Terminología - Seguridad de la Información Gestión de Riesgos Inventario de Activos Laboratorio
Contenido
© Copyright Ing. Jesús Vílchez, 2012 Derechos Reservados
![Page 4: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/4.jpg)
Porque Seguridad de Información?
![Page 5: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/5.jpg)
Terminología seguridad de la información
Activo de la información, amenazas, vulnerabilidades, riesgo, exposición, salvaguarda, impacto.
![Page 6: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/6.jpg)
Terminología
Activo de Información
Amenaza
Vulnerabilidad
Riesgo
Exposición
Salvaguarda
Impacto
![Page 7: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/7.jpg)
ACTIVO DE INFORMACION: aquel bien o servicio tangible o intangible, que genera, procesa o almacena información al cual una organización directamente le atribuye un valor y por tanto requiere una adecuada protección y cuidado.
Documentos: contratos, guías Software: aplicativos y software de sistemas Dispositivos físicos: PCs, medios removibles (usb, dvd, etc.) Personas: personal Imagen y reputación de la empresa: marca, logotipo, razón social. Servicios: red comunicaciones, telefonia, internet
Activos de Información
![Page 8: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/8.jpg)
Activ
os d
e In
form
ació
n En Papel • Recibos, Facturas • Memorando, Contratos • Manuales, Reglamentos • etc.
Electrónico • Correos • Archivos digitales, doc, pdf, ppt, etc.
Documentos
![Page 9: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/9.jpg)
Activ
os d
e In
form
ació
n Sistemas • Sistema Contable • Sistema de Gestión de Clientes • Sistema de Gestión de Recursos, etc
Aplicaciones y Programas • Office • Acrobat Reader • Outlook
Activos de Software
![Page 10: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/10.jpg)
Activ
os d
e In
form
ació
n • Procesamiento
• Comunicación
• Medios de Almacenamiento
• Otros
Activos de Físicos
![Page 11: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/11.jpg)
Activ
os d
e In
form
ació
n • Procesamiento y Comunicaciones
• Servicios Generales
• Otros Proveedores
Servicios Terceros
![Page 12: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/12.jpg)
Activo Fijo o Activo de Información?
• ¿Debo considerar a la caja fuerte como un activo?
![Page 13: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/13.jpg)
Activo de Información
Activo de Información
Clasificación
Marcado
Ubicación
Valoración
Propietario
Custodio
Usuario
Frecuencia
![Page 14: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/14.jpg)
Clasificación de Información
Restringida
Confidencial
Interna
Publica
![Page 15: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/15.jpg)
Ubicación (Física o Lógica)
Lugares donde se almacenan los Activos de Información más importantes: • Oficinas • Archivos • Centro de Cómputo • Bóvedas • Custodio de Información
(Proveedor)
![Page 16: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/16.jpg)
Propietario
• Persona o entidad que tiene la responsabilidad gerencial aprobada de controlar la producción, desarrollo, mantenimiento, uso y seguridad de los activos.
• El propietario de los activos debe ser responsable por definir apropiadamente la clasificación de seguridad y los derechos de acceso a los activos y establecer los sistemas de control.
• El término propietario no significa que la persona es dueña del activo.
![Page 17: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/17.jpg)
Propietario
Ejemplos: Activo de Información: Sistema Contabilidad Propietario del Activo: Gerente de Contabilidad y
Finanzas Custodio de la Base de Datos: Gerencia de TI Derecho de Propiedad del Activo: Empresa
![Page 18: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/18.jpg)
Amenazas
Potencial para causar un incidente indeseado que puede resultar en daño al sistema o a la empresa o a sus activos. Puede ser accidental o intencional Los activos están sujetos a muchos tipos de amenazas que explotan sus vulnerabilidades: • Desastres Naturales: terremoto, inundación, etc. • Humanas: errores de mantenimiento, huelga, errores
de usuario, ataques hackers • Tecnológicas: caída de red, sobrecarga de trafico, falla
de hardware
![Page 19: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/19.jpg)
Que es Ingeniería Social?
• Consiste en engañar a alguien para que entregue información o permita el acceso no autorizado o divulgación no autorizada, que usualmente no daría, a un Sistema de Información, Aplicativo o Recurso Informático.
“El arte de engañar a las personas”
![Page 20: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/20.jpg)
Vulnerabilidades
• Una vulnerabilidad es una debilidad o ausencia de control en la seguridad de información de una organización
• Por sí sola no causa daños
• Si no es administrada, permitirá que una amenaza se concrete
• Ejemplos: – Ausencia de personal clave – Cableado desprotegido – Archivadores sin llaves – Falta de conciencia de seguridad – Ausencia de sistema extintor
![Page 21: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/21.jpg)
Gestión de riesgos
![Page 22: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/22.jpg)
Es definido como la “Probabilidad de que una Amenaza pueda explotar una Vulnerabilidad en particular” (Peltier 2001)
Definición del Riesgo
Relación Causa – Efecto:
Amenaza Vulnerabilidad Riesgo Activo de Información
Causa Probabilidad Efecto Impacto
![Page 23: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/23.jpg)
Determinación del Riesgo y sus Consecuencias
![Page 24: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/24.jpg)
Riesgos en Documentos
![Page 25: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/25.jpg)
Riesgos en Activos Físicos
![Page 26: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/26.jpg)
» Las evaluaciones del riesgo deben ser realizadas periódicamente para incluir los cambios en los requerimientos del sistema y en la situación del riesgo, por ejemplo en los activos, amenazas, vulnerabilidades, impactos, valoración del riesgo y cuando ocurran cambios significativos
» Estas evaluaciones del riesgo deben ser emprendidas de una forma metódica, capaz de producir resultados comparables y reproducibles.
» La evaluación de la información del riesgo de seguridad debe tener un alcance claro y definido para que éste sea efectivo y debe incluir relaciones con las evaluaciones del riesgo en otras áreas, si es apropiado.
» El alcance de la evaluación del riesgo puede ser para toda la organización, partes de ella, un sistema individual de información, componentes específicos del sistema o servicios donde esto puede ser utilizado, realista y provechoso.
CONSIDERACIONES
![Page 27: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/27.jpg)
» Identificar los procesos y sus activos de información que los soportan.
» Determinar la amenazas y vulnerabilidades actuales existentes que afectan o pueden afectar a los activos de información identificados previamente.
» Evaluar y determinar el nivel de riesgo efectivo o riesgo actual existente en la organización.
» Establecer las acciones y controles requeridos para realizar un adecuado Tratamiento de los Riesgos altos o no tolerables previamente identificados,
» Buscar la aprobación de la alta dirección para tratar los riesgos y lograr el nivel de riesgo residual deseado y aceptado por la organización.
OBJETIVOS
![Page 28: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/28.jpg)
La norma no exige una Metodología de Gestión de Riesgos específica. Determinar la Metodología de Gestión de Riesgos a utilizar en la organización. Utilizar una Metodología práctica y de fácil aplicación y entendimiento para los usuarios y personal involucrado. Basada en una norma o estándar internacional reconocido, Ejemplo: • Magerit • Octave • ISO 31000 • ISO 27005 • ASNZ 4360 • NIST 800 30. • RISK IT Alinear la Metodología de gestión de riesgos de Seguridad con otras metodologías de la empresa relacionadas a riesgo operativo y/o riesgo financiero, tecnológico, etc.
Proceso de la Gestión de Riesgos
![Page 29: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/29.jpg)
Etapas para la Gestión de Riesgos
Metodología de Riesgos
1
Inventario de Activos
2
Análisis y Evaluación de
Riesgos 3
Tratamiento de Riesgos
4
![Page 30: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/30.jpg)
Etapas para la Gestión de Riesgos
![Page 31: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/31.jpg)
Inventario de Activos
![Page 32: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/32.jpg)
Inventario de Activos Relación de todos los Activos importantes.
Cada Activo debe tener un Propietario y Custodio (responsabilidades
definidas)
Los activos se identifican, no se inventan.
“La información debe protegerse cualquiera que sea la forma que
tome o los medios por los que se comparta o
almacene”. NTP ISO/IEC 17799:2007 No confundir con activos fijos
![Page 33: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/33.jpg)
Valor de Activos ¿La organización ha identificado el valor de sus activos de información? • Determinar el valor de cada activo es el primer paso para una
estrategia efectiva de seguridad ¿Es un componente vital del proceso de evaluación de riesgo? • Los activos de información no necesariamente incluyen todas aquellas
cosas que normalmente tienen valor dentro de la organización. Ej.: caja fuerte
• La Institución debe determinar cuáles son los activos de información
que afectan la entrega de sus productos o servicios por causa de su ausencia o degradación.
![Page 34: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/34.jpg)
La mejor persona para determinar el valor del activo es quien usa la información, no quien la crea, transfiere, guarda o procesa.
Valor del Activo
![Page 35: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/35.jpg)
? Preguntas
![Page 36: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/36.jpg)
Laboratorio
Inventario de Activos
![Page 37: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/37.jpg)
Ejercicio
Elaborar un Inventario de Activos
![Page 38: Analisis de riego primera parte](https://reader030.fdocuments.es/reader030/viewer/2022020106/55a4bb6d1a28abe45d8b46e0/html5/thumbnails/38.jpg)
SEGURIDAD EN REDES FIN DE SESION