Beruflich Dokumente
Kultur Dokumente
Profesor
Ing. Juan N. Mariñas R.
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
*
Incluye las pérdidas
asociadas a
violaciones
internacionales de la
Ley, de las normas o
de las políticas
internas de la
institución por parte
de sus funcionarios.
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
*
Agrupa las pérdidas
que fueran causadas
por deficiencias o
ausencia de
procedimientos,
recursos dispuestos o
políticas internas en
la ejecución de las
actividades propias
de la institución.
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
*
Pérdidas causadas
por fallas en los
sistemas, en las
telecomunicaciones
y en los elementos
informáticos que en
general utiliza la
institución.
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
*
Es la pérdida derivada
de las violaciones o
incumplimiento de
leyes, regulaciones,
contratos, u obligaciones
que, de manera no
intencionada, puedan
cometerse en perjuicio
del vínculo que la
institución tenga con
terceros.
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
*
Pérdidas causadas
por
interrupciones del
negocio, producto
de fuerzas
naturales o por
acción de
terceras
personas.
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
Fuente: Guía Metodológica para la Creación de Mapas de Riesgos del DNP, Colombia. 2007
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
Proceso:
Zona de Probabilidad Respuesta de
Riesgo de Impacto Riesgo Tratamiento
Ocurrencia al Riesgo
Fuente: Guía Metodológica para la Creación de Mapas de Riesgos del DNP, Colombia. 2007
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
• Divulgación y Concienciar
• Tomar en cuenta que el ser humano es
un elemento de alto riesgo para el
manejo y control de la seguridad
• Debe estar informado, a todos los niveles
dentro de la organización, de la
importancia de la seguridad en el uso de
las redes de comunicación de datos, sus
recursos y activos
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
• Divulgación y Concienciar
• Se deben desarrollar planes y programas de
divulgación de la seguridad para crear la
adecuada conciencia en el personal como
control preventivo
• Esto se puede llevar a cabo mediante charlas
sobre las políticas establecidas, afiches,
murales, correo electrónico, intranet, etc. y
combinarlo con actividades participativas que
promuevan diseminar y conocer la información
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
• Normas
• La aplicación y establecimiento de normas
de trabajo contribuyen a definir parámetros
de acción basado en mejores prácticas
para reforzar la mitigación de amenazas y
riesgos
• CoBIT, ITAFTM
• ISO 27001, ISO 17799
• ITIL, Otras normas de control y seguridad
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
• Pruebas (Test)
• La ejecución de distintos tipos de pruebas
pueden garantizar una mejor detección de
vulnerabilidades para ser controladas
• Se pueden realizar pruebas de penetración
a través de servicios de Ethical Hacker,
pruebas internas según resultados de
sistemas IDS/IPS, pruebas de control de
acceso, revisar configuraciones, etc.
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
• Privacidad
• La privacidad de la información se debe
manejar de forma controlada para evitar
que la misma sea accesible sólo a quien se
le tiene permitido el privilegio
• Hay que tomar consideraciones
relacionadas a evitar dejar rastros que
puedan atentar contra la privacidad de los
datos de usuarios en los sistemas.
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
• Privacidad
• La privacidad puede ser protegida a través
de controlar los accesos a redes, sistemas
o dispositivos estableciendo perfiles de
acceso adecuados.
• Se debe controlar el mantener información
que permita acceder a datos sensitivos de
los usuarios o que puedan ser seguidos
(“trace”) como cookies, formularios, etc.
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
Evaluación de Control en Redes
TAREA
• FECHA DE ENTREGA
• Jueves 13 de junio de 2019 - Impresa
• Trabajo en Grupo de Dos Estudiantes
• De acuerdo a la sección Evaluación de Control
en Redes:
• Para el Modelo OSI, defina 2 situaciones de
riesgo que pueden presentarse en cada una
de las capas y un control para cada uno de
los riesgos.
• Preséntelo en forma de matriz
• No se exceda de una cara, excederse
representan 5 puntos menos
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
Evaluación de Control en Redes
• Topología de Redes
• Capa Física – Capa 1
• Topología de Red
• Existen 3 topologías básicas
• Bus (Bus)
• Estrella (Star)
• Anillo (Ring)
• Otras topologías
• Híbridas y a partir de las formas básicas
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
Evaluación de Control en Redes
• Topología de Redes
• Capa Física – Capa 1
• Topología de Red - Bus (Bus)
• Todos los dispositivos se conectan a un solo cable
(backbone)
• Ideal para redes pequeñas por costo y facilidad de
instalación
• Principales inconvenientes
• Si se rompe el cable en algún punto, la red queda
inoperable por completo
• Instalación en un edificio con varias plantas
• Se instala una red por planta y se unen todas a través
de un bus troncal
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
Evaluación de Control en Redes
• Topología de Redes
• Capa Física – Capa 1
• Topología de Red - Estrella (Star)
• Cada nodo de la red se conecta a un
hub central o concentrador
• Es un cuello de botella o simple punto
de falla para la comunicación
• Es más costosa que la de bus
• Ideal para ambientes grandes y es la
más común hoy día
• Fácil de instalar, mantener y detectar
fallas sin afectar al resto
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
Evaluación de Control en Redes
• Topología de Redes
– Capa Física – Capa 1
– Topología de Red - Anillo (Ring)
– Es un ciclo cerrado conectado
dispositivos uno al final de otro en un
anillo continuo
– Los dispositivos individuales se
conectan a una MSAU o MAU
– Multi Station Access Unit
– Físicamente da la apariencia de una
topología de estrella
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
Evaluación de Control en Redes
• Control de Personal
• Usuarios del Sistema
• Autenticación de usuarios
• Personal técnico capacitado
• Entrenamiento en seguridad y manejo de
equipos de comunicación
• Políticas de personal sobre definición de
responsabilidades
• Existencia de una estructura organización y
segregación de funciones
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
Evaluación de Control en Redes
• Control de Personal
• Perfiles de Usuarios
• Política de seguridad para acceso a la
información
• Adecuada segregación de funciones
relacionada a la estructura de la red
(segmentación)
• Control de acceso a aplicaciones según función
y responsabilidades
• Control de acceso lógico y monitoreo de
actividades de mantenimiento de usuario
V. EL CONTROL Y RIESGOS EN EL USO DE
LAS REDES
Evaluación de Control en Redes
• Control de Personal
• Capacitación
• Existencia de un programa de capacitación
formal para el personal en relación a la
seguridad de la información en la red
• Capacitación formal al personal técnico que
administra la red y sus componentes
• Desarrollo de capacitación interna cruzada
controlando el manejo de conocimiento
• Seguimiento al aprovechamiento de la
capacitación brindada al personal