Normas de Seguridad de la Información
-
Upload
jherdy-sotelo-marticorena -
Category
Engineering
-
view
391 -
download
2
Transcript of Normas de Seguridad de la Información
![Page 1: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/1.jpg)
Seguridad en Redes
Ing. Jerdy Sotelo Marticorena
NORMAS DE SEGURIDAD EN TI
![Page 2: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/2.jpg)
OBJETIVOS DEL CURSO• Desarrollar la terminología y los conceptos necesarios
para realizar una adecuada Gestión de la Seguridad de la Información.
• Desarrollar el conocimiento para diseñar, implementar, operar y mantener la seguridad de los diferentes componentes de una arquitectura TI.
• Comprender los principales modelos, normas y estándares de Seguridad de la Información.
• Conocer e implementar técnicas para gestionar los riesgos de Seguridad de la Información basados en normas y estándares internacionales.
![Page 3: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/3.jpg)
CONTENIDO DEL DOMINIO• D1: Gobierno de Seguridad de la Información y Gestión de
Riesgos.
• D2: Seguridad de Operaciones.
• D3: Control de Accesos.
• D4: Diseño y Arquitectura de Seguridad.
• D5: Legislación, Regulación, Cumplimiento e Investigación.
• D6: Seguridad Física.
• D7: Seguridad de Aplicaciones.
• D8: Seguridad de Red y Telecomunicaciones.
• D9: Plan de Continuidad de Negocios y Recuperación de Desastres.
• D10: Criptografía.
![Page 4: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/4.jpg)
PRESENTACIÓN DE LOS ALUMNOS
• Nombres.
• Nombre de la empresa (trabaja y/o práctica pre profesionales)
• Puesto.
• Experiencia en Seguridad de la Información.
• Conocimiento de GNU/Linux.
• Pasatiempos / Aficiones.
• Expectativas del curso.
![Page 5: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/5.jpg)
INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN
![Page 6: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/6.jpg)
SEGURIDAD Y GESTIÓN DE RIESGOS
GESTIÓN CENTRALIZADA
Análisis de Riesgos y determinación de controles
Evaluación y MonitoreoImplementación de Políticas
y Controles
Promover la Concientización
![Page 7: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/7.jpg)
CICLO DE VIDA DE LA INFORMACIÓN
1.
CLASIFICACIÓN
DESTRUCCIÓN
DISPOSICIÓN
3.
MIGRACIÓN
2.
ALMACENAMIENTO
Seguridad y Recuperación
Seguridad y Recuperación
Seguridad y Recuperación
Seguridad y Recuperación
![Page 8: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/8.jpg)
SEGURIDAD DE LA INFORMACIÓN VS SEGURIDAD INFORMÁTICA
Tecnología
ProcesosPersonas
LA SEGURIDAD INFORMÁTICA: Se refiere a laprotección de las infraestructuras de lastecnologías de la información y comunicación quesoportan nuestro negocio.
SEGURIDAD DE LA INFORMACIÓN: Se refiere a la protección de los activos de informaciónfundamentales para el éxito de cualquier organización.
![Page 9: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/9.jpg)
Que es la Seguridad de la Información (video)
![Page 10: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/10.jpg)
CIA / CID – PRINCIPIOS BÁSICOS DE SEGURIDAD DE LA INFORMACIÓN
• Confidencialidad: Es la propiedad porla que la información, no se pone adisposición o se revela a individuos,entidades o procesos no autorizados.
• Integridad: Es la propiedad desalvaguardar la exactitud ycompletitud de los activos.
• Disponibilidad: Es la propiedad deser accesible y utilizable por unaentidad autorizada.
![Page 11: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/11.jpg)
• Confidencialidad:• Mínimo privilegios.• Basado en la función del usuario• Se soporta en clasificación de información.• Cifrado de información.
• Integridad: • Cambios no autorizados, intencionales o accidentales.• Información almacenada en diversos medios• Información modificada solo por el personal y controles
autorizados.
• Disponibilidad: • Disponible y accesible por personal autorizado y cuando lo
necesiten.• Se ve afectada por ataques de DoS.• Pérdida o paralización de servicio por la presencia de incidente o
desastre.
![Page 12: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/12.jpg)
OTROS ELEMENTOS DE LA SEGURIDAD DE LA INFORMACIÓN
![Page 13: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/13.jpg)
Porqué es necesaria la Seguridad de la Información?
La información y los procesos que la apoyan, lossistemas y las redes son activos importantes para laorganización, por lo tanto, es esencial definir, realizar,mantener y mejorar la seguridad de la informaciónpara:
• Mantener la competitividad de la empresa.
• lograr el flujo de liquidez requerido.
• Lograr el cumplimiento legal de la normatividadvigente a nivel nacional.
![Page 14: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/14.jpg)
Somos conscientes de nuestras debilidades?
• Internas o Externas.
OSSTM – MAPA DE SEGURIDAD
NOTA: LOS ATAQUES
INTERNOS REPRESENTAN UN 60% DE TOTAL DE ATAQUES
RECIBIDOS
![Page 15: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/15.jpg)
AMENAZAS PARA LA SEGURIDAD
![Page 16: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/16.jpg)
DE QUIEN DEBEMOS PROTEGERNOS: EXTERNAS
![Page 17: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/17.jpg)
DE QUIEN DEBEMOS PROTEGERNOS: INTERNAS
Categorización de usuarios
![Page 18: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/18.jpg)
OPERATIVIDAD VS SEGURIDAD
![Page 19: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/19.jpg)
![Page 20: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/20.jpg)
TERMINOLOGÍA Y CONCEPTOS DE SEGURIDAD DE LA INFORMACIÓN
![Page 21: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/21.jpg)
Terminología en Seguridad de la Información
• Activos de información
• Amenaza
• Vulnerabilidad
• Riesgo
• Exposición
• Salvaguarda
• Impacto
![Page 22: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/22.jpg)
• Activo: Recurso relacionado al sistema de informaciónnecesario para el funcionamiento correcto y para elcumplimiento de los objetivos de una organización.
• Amenaza: Cualquier evento que ocasione incidencias ,produciendo daños materiales o inmateriales sobre un activo deal organización.
• Vulnerabilidad: Es una posibilidad de ocurrencia de lamaterialización de una amenaza hacia la seguridad de laorganización.
• Riesgo: Es la posibilidad de que se produzca un impactodeterminado en la organización
• Exposición: Es un caso de exponer la organización o parte deella, a riesgos que causen daño posibles.
• Salvaguarda: Es un proceso que elimina o minimiza los riesgosde seguridad, desde antes que se active una vulnerabilidad.
• Impacto: Consecuencia de la materialización de una amenaza.
![Page 23: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/23.jpg)
Activos de Información• Documentos en papel: Contratos, guías, etc.• Software: aplicativos y software de sistemas.• Dispositivos físicos: computadoras, medios removibles
(USB, DVD, etc).• Personas: clientes, personal, etc.• Imagen y reputación de la empresa: Marca, logotipo,
razón social.• Servicios: Comunicaciones, internet, energía.
ACTIVO DE INFORMACIÓN: Aquel bien o servicio tangible ointangible que genera, procesa o almacena información al cual unaorganización directamente le atribuye un valor y por tanto requiereuna adecuada protección y cuidado.
![Page 24: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/24.jpg)
DOCUMENTOS
• En papel:
• Electrónico:
![Page 25: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/25.jpg)
ACTIVOS DE SOFTWARE
• Sistemas
• Aplicaciones
• Herramientas y programas
![Page 26: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/26.jpg)
ACTIVOS FÍSICOS
• Procesamiento
• Comunicación
• Medios de almacenamiento
• Otros
![Page 27: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/27.jpg)
SERVICIOS (Terceros)
• Procesamiento y comunicaciones.
• Servicios generales.
• Otros proveedores.
![Page 28: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/28.jpg)
FRECUENCIA MARCADO
UBICACIÓN
CUSTODIO VALORACIÓN
CLASIFICACIÓN
PROPIETARIO
USUARIOACTIVO DE
INFORMACIÓN
![Page 29: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/29.jpg)
CLASIFICACIÓN DE LA INFORMACIÓN
Restringida
Confidencial
Interna
Pública
![Page 30: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/30.jpg)
Ubicación (Física o Lógica)
• Lugares donde se almacena los Activos de información más importantes:
• Oficinas.
• Archivos.
• Centro de cómputo.
• Bóvedas.
• Custodio de información
(Proveedor).
![Page 31: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/31.jpg)
PropietarioEl propietario de los activos debe ser responsable pordefinir apropiadamente la clasificación de seguridad ylos derechos de acceso a los activos y establecer lossistemas de control.
Ejemplo:
• Activo de información: Sistema Contabilidad.
• Propietario del activo: Gerente de Contabilidad y Finanzas.
• Custodio de la Base de Datos: Gerencia de TI.
• Derecho de propietario del activo: Empresa.
![Page 32: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/32.jpg)
Amenazas• Potencial para causar un incidente indeseado que
puede resultar en daño al sistema, a la empresa o a sus activos.
• Puede ser accidental o intencional
• Los activos están sujetos a muchos tipos de amenazas que explotan sus vulnerabilidades:
• Desastres Naturales: Terremoto, incendio, etc.
• Humanas: Errores de mantenimiento, huelgas, etc
• Tecnológicas: Caída de Red, Sobretráfico, etc
![Page 33: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/33.jpg)
![Page 34: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/34.jpg)
Ingeniería Social
• Consiste en engañar a alguien para que entregueinformación o permita el acceso no autorizado odivulgación no autorizada, que usualmente nos daríaacceso a un sistema de información, aplicativo orecurso informático.
«EL ARTE DE ENGAÑAR A LAS PERSONAS»
![Page 35: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/35.jpg)
Video de Ing. Social
![Page 36: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/36.jpg)
SGSI(Sistema de Gestión de la Seguridad de la Información)
![Page 37: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/37.jpg)
Sistema de Gestión de la Seguridad de la Información
SGSI son las siglas utilizadas para referirsea un Sistema de Gestión de la Seguridadde la Información, una herramienta degran utilidad y de importante ayuda para lagestión de las organizaciones. Además delconcepto central sobre el que se construyela norma ISO 27001.
![Page 38: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/38.jpg)
ISO 27000
A semejanza de otras normas ISO, la
27000 es realmente una serie de
estándares. A continuación se
incorpora una relación con la serie de
normas ISO 27000 y una descripción
de las más significativas.
![Page 39: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/39.jpg)
![Page 40: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/40.jpg)
ISO 27001
• Esta norma es la definición delos procesos de gestión de laseguridad, por lo tanto, es unaespecificación para un SGSI y, eneste momento, es la única normaCertificable, dentro de lafamilia ISO 27000.
![Page 41: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/41.jpg)
ISO 27002• La ISO 27002 viene a ser un código de buenas
prácticas en el que se recoge un catálogo de loscontroles de seguridad y una guía para la implantaciónde un SGSI.
• Se compone de 11 dominios, 39 objetivos de seguridady 133 controles de seguridad.
• Cada uno de los dominios conforma un capítulo de lanorma y se centra en un determinado aspecto de laseguridad de la información.
![Page 42: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/42.jpg)
Distribución de los dominios de la Norma ISO 27002
![Page 43: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/43.jpg)
ISO 27002 (documentación)La pretensión de esta normativa es la elaboración de un SGSI que minimice los riesgos que se hayan detectado en los Análisis de Riesgos hasta un nivel asumible por la organización, en relación siempre a los objetivos de negocio. Es importante destacar que cualquier medida de protección que se haya implantado debe quedar perfectamente documentada.
![Page 44: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/44.jpg)
GESTIÓN DE RIESGOS
![Page 45: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/45.jpg)
Requerimientos del Negocio
• Los modelos de seguridad deben adaptarse a las necesidades y objetivos de las organizaciones.
• No es posible aplicar un mismo modelo de seguridad para organizaciones de diferentes rubros.
![Page 46: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/46.jpg)
Requerimientos del Negocio
• En una organizaciónprivada los servicios dedisponibilidad eintegridad de lainformación, cobranmayor valor que laconfidencialidad, ya quesus objetivos, apuntanhacía la competencia enmarketing y ventas.
• En una organización militar,el servicio deconfidencialidad cobramayor valor que ladisponibilidad e integridadde la información, ya queadministra informacióncrítica que NO PUEDE NIDEBE tener accesosdesautorizados.
![Page 47: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/47.jpg)
Introducción al Análisis de Riesgos
• Es necesario recordar que:
• No existe SEGURIDAD AL 100%.
• No existe 0% de Riesgos.
• Ningún control es infalible.
• Cada organización tiene vulnerabilidades y riesgos diferentes.
• Los riesgos no se puede eliminar pero si darle un tratamiento
![Page 48: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/48.jpg)
Análisis de Riesgos Métodos para analizar los riesgos:
• Cuantitativo.
• Cualitativo.
Existen algunas metodologías para el análisis y gestión de riesgos:
Magerit
Octave
ISO 27005
RISK IT
ISO 31000
AS/NZS 4360
![Page 49: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/49.jpg)
Que persigue con el Análisis de Riesgos
• Identificar y clasificar los activos críticos de la organización.
• Determinar a que amenazas están expuestas.
• Determinar que salvaguardas existen y cuan eficaces son frente al riesgo.
• Estimar el impacto.
• Estimar el riesgo.
![Page 50: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/50.jpg)
1. Inventariar 2. Análisis
4. Tratamiento 3. Evaluación
Basado en la Norma ISO
27005
Ciclo del Análisis y Evaluación de Riesgos
![Page 51: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/51.jpg)
Proceso de evaluación del Riesgo
![Page 52: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/52.jpg)
Nivel de Riesgo Aceptable• Es el Riesgo que queda en la organización
luego de implementar controles.
• Cuando el nivel de Riesgo que queda se asume y acepta, entonces podemos decir que tenemos un Riesgo Residual.
• Siempre existirán Riesgos Residual.
• ¿Cuál es el nivel de Riesgo Residual aceptable en su organización?
- La alta dirección debe decidir.
![Page 53: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/53.jpg)
OPCIONES PARA EL TRATAMIENTO DE LOS RIESGOS
![Page 54: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/54.jpg)
Tratando los Riesgos de Seguridad
• Antes de considerar el tratamiento de un riesgo, la organización debe decidir el criterio para determinar si es que los riesgos son aceptados o no, los riesgos pueden ser aceptados si, por ejemplo, se evalúa que el riesgo es menor o que el costo de tratarlo no es rentable para la organización.
![Page 55: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/55.jpg)
Tratando los Riesgos de Seguridad
Posibles opciones para el tratamiento del riesgo incluye:
a) Aplicar controles apropiados para reducir el riesgo.
b) Riesgos aceptados objetivamente y con conocimiento, satisfaciendo claramente el criterio para la aceptación del riesgo y la política de la organización.
c) Evitar riesgos no permitiendo realizar acciones que puedan causar que estos riesgos ocurran.
d) Transferir los riesgos asociados a terceros como son los proveedores y aseguradores.
![Page 56: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/56.jpg)
Dirección de Tratamiento del Riesgo
Opciones:
• ACEPTAR el riesgo efectivo.
• TRANSFERIR el Riesgo.
• REDUCIR el Riesgo a un nivel aceptado.
• EVITAR Riesgos.
![Page 57: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/57.jpg)
Aceptando el Riesgo
CONDICIONES:
• La organización no encuentra controles para mitigar el riesgo efectivo.
• La implementación de controles tiene un costo superior que las consecuencias del riesgo.
• Cuando las organizaciones toman está decisión de aceptar el riesgo, se debe documentar y definir con precisión el criterio utilizado para la aceptación del riesgo.
![Page 58: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/58.jpg)
Transferir el Riesgo
CONDICIONES:
• Cuando para la organización es difícil reducir o controlar el riesgo a un nivel aceptable.
• La alternativa de trasferir el riesgo a una tercera parte es más económica ante estas circunstancias.
• Las transferencia del riesgo no elimina el riesgo residual.
![Page 59: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/59.jpg)
Reducir el Riesgo
CONDICIONES:
• Se debe reducir el riesgo al nivel que se haya definido como riesgo aceptable.
• Los controles a implementar pueden reducir el riesgo estimado en dos maneras:
Reduciendo la probabilidad de ocurrencia de la amena.
Minimizando el impacto que podría causar si el riesgo logra ocurrir sobre el activo.
![Page 60: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/60.jpg)
Evitar el Riesgo
GENERALIDADES:
• Cualquier acción o control propuesto que permita cambiar el rumbo de las actividades, para así evitar la presencia del riesgo.
• El riesgo se puede evitar por medio de:
• No continuar desarrollando una actividad en particular.
• Trasladar nuestros activos a otro lugar o área segura.
• Decidir no procesar cierta información considerada muy sensitiva.
![Page 61: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/61.jpg)
Resultados del Análisis de Riesgos
• Asignación de valores monetarios a los activos.
• Lista de todos los posibles y potenciales amenazas.
• Probabilidad de cantidad de ocurrencias por cada amenaza.
• Potencial que la organización pueda aguantar en un lapso de 12 meses, frente a la amenaza.
• Recomendaciones de salvaguardas, contramedidas y acciones a ejecutar.
![Page 62: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/62.jpg)
Inventario de Activos
• Relación de todos los activos importantes.
• Cada activo debe tener un propietario y custodio (responsabilidades definidas)
• Los activos se identifican, no se inventan.
![Page 63: Normas de Seguridad de la Información](https://reader031.fdocuments.es/reader031/viewer/2022032617/55ac117f1a28ab4b148b4886/html5/thumbnails/63.jpg)
Seguridad de Redes
Ing. Jerdy Sotelo Marticorena