CAPTULO 3 : SEGURIDAD

DE LA INFORMACIN Y
GESTIN DE RIESGOS
SEGURIDAD DE
REDES
PROFESOR: JORGE PANTOJA COLLANTES
INTEGRANTES:

DANIEL MUNIVE ORBEGOSO 11200209

LUIS ROSAS ARCE

11200162

FREDY ROMERO SAM

11200212

CAPTULO 3
SEGURIDAD DE LA
INFORMACIN Y GESTIN DE
RIESGOS

METODOLOGAS PARA LA EVALUACIN DE RIESGOS

NIST SP 800-66

Es comnmente utilizado por los consultores de

seguridad, oficiales de seguridad y los
departamentos de TI internos, y se centra
principalmente en los sistemas informticos.
NIST SP 800-30

Es del tipo de metodologa que se pretende por

una industria regulada pero que pueden ser
adoptados y utilizados por otros.

METODOLOGAS PARA LA EVALUACIN DE RIESGOS

FRAP

(Proceso de Anlisis de Riesgos

Facilitada)
La intencin de esta metodologa es proporcionar
a una organizacin los medios de decidir qu
curso y las acciones deben ser tomadas en
circunstancias especficas para hacer frente a
diversas situaciones. Esto permitir, a travs de la
utilizacin de un proceso de preseleccin, que los
usuarios determinen las reas que realmente
demandan y necesitan un anlisis de riesgos
dentro de una organizacin.

METODOLOGAS PARA LA EVALUACIN DE RIESGOS

OCTAVE (Amenaza, Activos y Evaluacin de

Vulnerabilidad Operacionalmente Crtica)

Es una metodologa que est destinada a ser
utilizado en situaciones donde la gente gestiona y
dirige la evaluacin del riesgo para la seguridad
de la informacin dentro de la empresa. Esto
coloca a las personas que trabajan dentro de la
organizacin en posiciones donde son capaces de
tomar las decisiones con respecto a cul es el
mejor enfoque para la evaluacin de la seguridad
de su organizacin.

TIPOS DE RIESGOS

RIESGOS CUANTITATIVOS

RIESGOS CUALITATIVOS

PASOS PARA UN ANLISIS DE RIESGO

1. Asignar Valor de los Activos.

2. Estimar la prdida potencial por la amenaza.
3. Realizar un anlisis de amenazas.
4. Deducir la total prdida potencial por Amenaza Anual.
5. Reducir, Transferencia, Evita, o aceptar el riesgo

TCNICA DELPHI

RIESGO TOTAL VS RIESGO RESIDUAL

POLITICA DE SEGURIDAD
Establece las metas del programa.
Asigna responsabilidades.
Muestra el valor estratgico y tctico de la seguridad.
Describe cmo la ejecucin debe llevarse a cabo.
Aborda leyes relativas, reglamentos y cuestiones de responsabilidad.
Proporciona alcance y la direccin de todas las actividades de seguridad

del futuro de la organizacin.

Tambin describe la cantidad de la alta gerencia de riesgo est
dispuesto a aceptar.

EMRESAS PRIVADAS VS. ORGANIZACIONES MILITARES

Las organizaciones militares estn ms preocupados que la mayora

de las empresas del sector privado acerca de no revelar informacin

confidencial.
Empresas del sector privado suelen estar ms interesados en la

integridad y disponibilidad de los datos.

CONTROLES DE CLASIFICACIN

Tipos de control son implementados por clasificacin

dependiendo del nivel de proteccin que la administracin y
el equipo de seguridad han determinado.
Cifrado

de datos al tiempo que

transmisin.
Procedimientos de copia de seguridad
Revisiones peridicas

almacena

en

PROCEDIMIENTO DE CLASIFICACIN DE DATOS

Definir los niveles de clasificacin.
Especifique los criterios que determinarn cmo se clasifican los datos.
Haga que el titular de los datos indican la clasificacin de los datos que ella es responsable.
Identificar el custodio de datos que ser responsable del mantenimiento de los datos y su nivel de

seguridad.
Indicar los controles de seguridad, o los mecanismos de proteccin, requeridos para cada nivel de

clasificacin.
Documento de cualquier excepcin a las cuestiones de clasificacin anteriores.
Indicar los mtodos que se pueden utilizar para transferir la custodia de la informacin a un dueo

de datos diferente.
Crear un procedimiento para examinar peridicamente la clasificacin y la propiedad. Comunicar

cualquier cambio en la custodia de datos.

Indique los procedimientos de desclasificacin de los datos.
Integrar estas cuestiones en el programa de seguridad de la conciencia de lo que todos los

empleados a entender cmo manejar los datos en los diferentes niveles de clasificacin.

CAPAS DE RESPONSABILIDAD

Alta
direc
cin

Capa funcional

Director de operacin

Los miembros de la capa

funcional deben entender
como
funcionan
sus
departamentos.
La capa mas baja debe
entender los mecanismo
de seguridad que se
integran a los sistemas

ALGUNOS ROLES

El Director de Informacin (CIO): Responsable de la

utilizacin y gestin de los sistemas de informacin y
tecnologa estratgica dentro de la organizacin.
El Responsable Principal de Seguridad (CSO):
Es responsable de la comprensin de los riesgos que
enfrenta la compaa y para mitigar estos riesgos a un
nivel aceptable. Este papel es responsable de la
comprensin de los impulsores del negocio de la
organizacin y de crear y mantener un programa de
seguridad que facilita estos controladores, adems de
proporcionar la seguridad, el cumplimiento de una larga
lista de reglamentos y leyes, y de las expectativas de los
clientes u obligaciones contractuales.

-Hey, necesitamos un
cordero de sacrificio por si
las cosas van mal.
-Ya tenemos uno. Se llama
el jefe de seguridad.

ALGUNOS ROLES

El Comit de Direccin es la seguridad: Es responsable de la toma de

decisiones en cuestiones de seguridad tctica y estratgica dentro de la
empresa como un todo y no debe estar atado a una o ms unidades de
negocio
El Analista de Seguridad:
-He analizado su seguridad y lo tienes todo mal
- Qu sorpresa.
El papel analista de seguridad trabaja en un nivel ms alto, ms estratgico
que los roles descritos anteriormente y ayuda a desarrollar las polticas,
normas y directrices, as como varias lneas de base establecidas

ALGUNOS ROLES

El analista de control de cambios

El supervisor
Analista de datos
Propietario de procesos
Usuario
Auditor, etc.

ENTRENAMIENTO DE SEGURIDAD CONCIENCIA

- Nuestro CEO dijo que nuestra organizacin es seguro.

- Respuesta: Se necesita ms formacin de la conciencia que nadie.

GRACIAS