Beruflich Dokumente
Kultur Dokumente
Introduccin
La Gestin de Riesgo es un mtodo que se puede aplicar en diferentes
contextos donde se debe incluir y trabajar con las consideraciones de la
seguridad.
Como trabajar
La estructura del contenido aplica una metodologa de tipo taller, es decir cada
captulo est compuesto por diapositivas y sus respectivas explicaciones
complementarias, que sirven tanto para el estudio individual, como
posteriormente para un curso impartido por un facilitador.
La presentacin completa con todos los diapositivas (en formato PDF) est
disponible en la seccin Descargas.
Contenido
1. Definicin de Seguridad Informtica
https://protejete.wordpress.com/gdr_principal/
pres_1_seguridad_informatica
https://protejete.wordpress.com/gdr_principal/
https://protejete.wordpress.com/gdr_principal/
https://protejete.wordpress.com/gdr_principal/
Se debe distinguir entre los dos, porque forman la base y dan la razn,
justificacin en la seleccin de los elementos de informacin que requieren una
atencin especial dentro del marco de la Seguridad Informtica y normalmente
tambin dan el motivo y la obligacin para su proteccin.
Sin embargo hay que destacar que, aunque se diferencia entre la Seguridad de
la Informacin y la Proteccin de Datos como motivo o obligacin de las
actividades de seguridad, las medidas de proteccin aplicadas normalmente
sern las mismas.
https://protejete.wordpress.com/gdr_principal/
https://protejete.wordpress.com/gdr_principal/
Si revisamos otra vez los resultados del ejercicio con el banco y en particular
los elementos que clasificamos como Informacin Confidencial, nos podemos
preguntar, de que manera nos podra perjudicar un supuesto mal manejo de
nuestros datos personales, por parte del banco, con la consecuencia de que
terminen en manos ajenas? Pues, no hay una respuesta clara en este momento
sin conocer cul es la amenaza, es decir quin tuviera un inters en esta
informacin y con que propsito?
4. Retos de la Seguridad
La eficiente integracin de los aspectos de la Seguridad Informtica en el
mbito de las organizaciones sociales centroamericanas enfrenta algunos retos
muy comunes que estn relacionados con el funcionamiento y las
caractersticas de estas.
https://protejete.wordpress.com/gdr_principal/
https://protejete.wordpress.com/gdr_principal/
Pero una buena Gestin de riesgos no es una tarea nica sino un proceso
dinmico y permanente que tiene que estar integrado en los procesos
(cotidianos) de la estructura institucional, que debe incluir a todas y todos los
funcionarios -la falla el eslabn ms dbil de la cadena!!- y que requiere el
reconocimiento y apoyo de las directiva. Sin estos caractersticas esenciales no
estn garantizados, las medidas de proteccin implementadas no funcionarn
y son una perdida de recursos.
5. Elementos de Informacin
Los Elementos de informacin son todos los componentes que contienen,
mantienen o guardan informacin. Dependiendo de la literatura, tambin son
llamados Activos o Recursos.
Son estos los Activos de una institucin que tenemos que proteger, para evitar
su perdida, modificacin o el uso inadecuado de su contenido, para impedir
daos para nuestra institucin y las personas presentes en la informacin.
https://protejete.wordpress.com/gdr_principal/
https://protejete.wordpress.com/gdr_principal/
6. Amenazas y Vulnerabilidades
Amenazas
Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o
accin que puede producir un dao (material o inmaterial) sobre los elementos
de un sistema, en el caso de la Seguridad Informtica, los Elementos de
Informacin. Debido a que la Seguridad Informtica tiene como propsitos de
garantizar la confidencialidad, integridad, disponibilidad y autenticidad de los
datos e informaciones, las amenazas y los consecuentes daos que puede
causar un evento exitoso, tambin hay que ver en relacin con la
confidencialidad, integridad, disponibilidad y autenticidad de los datos e
informaciones.
Desde el punto de vista de la entidad que maneja los datos, existen amenazas
de origen externo como por ejemplo las agresiones tcnicas, naturales o
humanos, sino tambin amenazas de origen interno, como la negligencia del
propio personal o las condiciones tcnicas, procesos operativos internos (Nota:
existen conceptos que defienden la opinin que amenazas siempre tienen
carcter externo!)
https://protejete.wordpress.com/gdr_principal/
Criminalidad: son todas las acciones, causado por la intervencin humana, que
violan la ley y que estn penadas por esta. Con criminalidad poltica se
entiende todas las acciones dirigido desde el gobierno hacia la sociedad civil.
Sucesos de origen fsico: son todos los eventos naturales y tcnicos, sino
tambin eventos indirectamente causados por la intervencin humana.
Negligencia y decisiones institucionales: son todas las acciones, decisiones u
omisiones por parte de las personas que tienen poder e influencia sobre el
sistema. Al mismo tiempo son las amenazas menos predecibles porque estn
directamente relacionado con el comportamiento humano.
Existen amenazas que difcilmente se dejan eliminar (virus de computadora) y
por eso es la tarea de la gestin de riesgo de preverlas, implementar medidas
de proteccin para evitar o minimizar los daos en caso de que se realice una
amenaza.
https://protejete.wordpress.com/gdr_principal/
https://protejete.wordpress.com/gdr_principal/
Acceso non-autorizado
etc
Vulnerabilidades
https://protejete.wordpress.com/gdr_principal/
7. Anlisis de Riesgo
El primer paso en la Gestin de riesgo es el anlisis de riesgo que tiene como
propsito determinar los componentes de un sistema que requieren proteccin,
sus vulnerabilidades que los debilitan y las amenazas que lo ponen en peligro,
con el fin de valorar su grado de riesgo.
https://protejete.wordpress.com/gdr_principal/
Una vez clasificada la informacin, tenemos que verificar los diferentes flujos
existentes de informacin internos y externos, para saber quienes tienen
acceso a que informacin y datos.
Anlisis de Riesgo
Existen varios mtodos de como valorar un riesgo y al final, todos tienen los
mismos retos -las variables son difciles de precisar y en su mayora son
estimaciones- y llegan casi a los mismos resultados y conclusiones.
https://protejete.wordpress.com/gdr_principal/
Probabilidad de Amenaza
https://protejete.wordpress.com/gdr_principal/
Magnitud de Dao
https://protejete.wordpress.com/gdr_principal/
https://protejete.wordpress.com/gdr_principal/
https://protejete.wordpress.com/gdr_principal/
Introduccin
La Matriz para el Anlisis de Riesgo, es producto del proyecto de Seguimiento
al Taller Centroamericano Ampliando la Libertad de Expresin: Herramientas
para la colaboracin, informacin y comunicacin seguras y fue punto clave
en analizar y determinar los riesgos en el manejo de los datos e informacin de
las organizaciones sociales participantes. La Matriz, que bas en una hoja de
calculo, no dar un resultado detallado sobre los riesgos y peligros de cada
recurso (elemento de informacin) de la institucin, sino una mirada
aproximada y generalizada de estos.
Hay que tomar en cuenta que el anlisis de riesgo detallado, es un trabajo muy
extenso y consumidor de tiempo, porque requiere que se compruebe todos los
posibles daos de cada recurso de una institucin contra todas las posibles
amenazas, es decir terminaramos con un sinnmero de grafos de riesgo que
deberamos analizar y clasificar. Por otro lado, hay que reconocer que la
mayora de las organizaciones sociales centroamericanas (el grupo meta del
proyecto), ni cuentan con personal tcnico especfico para los equipos de
computacin, ni con recursos econmicos o mucho tiempo para dedicarse o
preocuparse por la seguridad de la informacin que manejan y en muchas
ocasiones tampoco por la formacin adecuada de sus funcionarios en el
manejo de las herramientas informticas.
Descargar la Matriz
El formato (vaco) de la Matriz en versin OpenOffice y Microsoft Excel, ms
algunos documentos de apoyo, se puede obtener en la seccin Descargas.
Fundamento de la Matriz
La Matriz la bas en el mtodo de Anlisis de Riesgo con un grafo de riesgo,
usando la formula Riesgo = Probabilidad de Amenaza x Magnitud de Dao
https://protejete.wordpress.com/gdr_principal/
https://protejete.wordpress.com/gdr_principal/
https://protejete.wordpress.com/gdr_principal/
https://protejete.wordpress.com/gdr_principal/
https://protejete.wordpress.com/gdr_principal/
9. Clasificacin de Riesgo
El objetivo de la clasificacin de riesgo es determinar hasta que grado es
factible combatir los riesgos encontrados. La factibilidad normalmente depende
de la voluntad y posibilidad econmica de una institucin, sino tambin del
entorno donde nos ubicamos. Los riesgos que no queremos o podemos
combatir se llaman riesgos restantes y no hay otra solucin que aceptarlos.
https://protejete.wordpress.com/gdr_principal/
Entonces el estado que buscamos es, que los esfuerzos econmicos que
realizamos y los procesos operativos, para mantener las medidas de
proteccin, son suficientes, ajustados y optimizados, para que respondan
exitosamente a las amenazas y debilidades (vulnerabilidades) que
enfrentamos.
https://protejete.wordpress.com/gdr_principal/
Con Riesgo restante se entiende dos circunstancias, por un lado son estas
amenazas y peligros que, aunque tenemos implementados medidas para evitar
o mitigar sus daos, siempre nos pueden afectar, si el ataque ocurre con una
magnitud superior a lo esperado. Podemos protegernos de cierto modo contra
los impactos de un terremoto comn, sin embargo cuando ocurre con una
fuerza superior o antes no conocido, el impacto general ser mucho ms
grande y muy probablemente afectar tambin a nosotros.
https://protejete.wordpress.com/gdr_principal/
https://protejete.wordpress.com/gdr_principal/
Para que las medias sean exitosas, es esencial que siempre verificamos su
factibilidad, es decir que tcnicamente funcionan y cumplen su propsito, que
estn incorporadas en los procesos operativos institucionales y que las
https://protejete.wordpress.com/gdr_principal/
Otro punto clave es, que las personas que deben aplicar y apropiarse de las
medias saben sobre su existencia, propsito e importancia y son capacitadas
adecuadamente en su uso, de tal manera, que las ven como una necesidad
institucional y no como otro cortapisa laboral.
Las actividades del proceso, tienen que estar integradas en el plan operativo
institucional, donde se define los momentos de las intervenciones y los
responsables de ejecucin.
https://protejete.wordpress.com/gdr_principal/
https://protejete.wordpress.com/gdr_principal/