RIESGOS INFORMÁTICOS
CONCEPTO La acepción “riesgo informático” es un concepto nuevo en la termología jurídica sin existir por tanto una definición específica. El riesgo se refiere a la incertidumbre o probabilidad de que ocurra o se realce una eventualidad, de la cual puede estar prevista: en este sentido podemos decir que el riesgo es la contingencia de un daño. En función de lo anterior, podemos aseverar que los riesgos informáticos se refieren a la incertidumbre existente por la posible realización de un suceso relacionado con la amenaza de daño respecto a los bienes o servicios informáticos como por ejemplos los equipos informáticos, periféricos, instalaciones, proyectos, programas de cómputo, archivos, información, datos confidenciales, responsabilidad civil que estos ocasionan frente a terceros por la prestación de un servicio informático, etc.
RIESGOS DE INTEGRIDAD: Este tipo abarca todos los riesgos asociados con la autorización, completitud y exactitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organización.
Interface del usuario Procesamiento Interface
RIESGOS DE RELACION:
Los riesgos de relaciรณn se refieren al uso oportuno de la informaciรณn creada por una aplicaciรณn. Estos riesgos se relacionan directamente a la informaciรณn de toma de decisiones (Informaciรณn y datos correctos de una persona/proceso/sistema correcto en el tiempo preciso permiten tomar decisiones correctas
RIESGOS DE ACCESO: Estos riesgos se enfocan al inapropiado acceso a sistemas, datos e informaciรณn. Estos riesgos abarcan: Los riesgos de segregaciรณn inapropiada de trabajo, los riesgos asociados con la integridad de la informaciรณn de sistemas de bases de datos y los riesgos asociados a la confidencialidad de la informaciรณn. Los riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la informaciรณn.
RIESGOS DE UTILIDAD: Estos riesgos se enfocan en tres diferentes niveles de riesgo:
Los riesgos pueden ser enfrentados por el direccionamiento de sistemas Antes de que los problemas ocurran.
Técnicas de recuperación/restauración usadas para minimizar la ruptura de los sistemas.
Backups y planes de contingencia controlan desastres en el procesamiento de la información.
RIESGOS EN LA INFRAESTRUCTURA: Estos riesgos se refieren a que en las organizaciones no existe una estructura información tecnológica efectiva (hardware, software, redes, personas y procesos) para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente. Estos riesgos están asociados con los procesos de la información tecnológica que definen, desarrollan, mantienen y operan un entorno de procesamiento de información y las aplicaciones asociadas (servicio al cliente, pago de cuentas, etc.).
RIESGOS DE SEGURIDAD GENERAL: Los estándares IEC 950 proporcionan los requisitos de diseño para lograr una seguridad general y que disminuyen el riesgo: Riesgos de choque de eléctrico: Niveles altos de voltaje. Riesgos de incendio: Inflamabilidad de materiales. Riesgos de niveles inadecuados de energía eléctrica. Riesgos de radiaciones: Ondas de ruido, de láser y ultrasónicas. Riesgos mecánicos: Inestabilidad de las piezas eléctricas
Ă reas de incidencia de riesgos informĂĄticos
- Causas de los riesgos -
Vulnerabilidades agujeros
Efectos en :
-
disponibilidad integridad confidencialidad
Anรกlisis de riesgos informรกticos
OBJETIVOS Seguridad de la Informaci贸n
Integridad
Disponibilidad
Confidencialidad
RIESGO
Los recursos informáticos se encuentran de manera continua sujeto a numerosos riesgos que, de materializarse, podrían afectar la continuidad de las operaciones, el cumplimiento de las metas y el patrimonio de las empresas. Por esta razón es importante protegerlos.
Transferencia del Riesgo
Apetito del Riesgo
Tolerancia al Riesgo
SITUACIONES
Read after Write
Write after Read
Write after Write
CONSECUENCIAS
Un riesgo conlleva a dos tipos de consecuencias: Ganancias o Pérdidas. En informática el riesgo solo tiene que ver con la amenaza que la información puede sufrir, determinando el grado de exposición y la perdida de la misma. La ISO (Organización Internacional de Estándares) define el riesgo informático como: “La posibilidad que una amenaza se materialice, utilizando vulnerabilidad existente en un activo o grupos de activos, generando se así perdidas o daños. En la actualidad se tiene diferentes medios de ataque que incrementa el riesgo de la pérdida de información, algunos de los elementos que nos pueden afectar directamente a la información son: Los spam, los virus, los gusanos, Adware y Spyware
LEYES
La Ley de Protección de Datos Personales, Ley 2973
Norma que regula no sólo los alcances del derecho reconocido en nuestra Constitución, sino también, las distintas situaciones que pueden plantearse en el tratamiento de información personal contenida en bancos de datos tanto en el ámbito de la Administración pública (en los tres niveles de Gobierno) como en la actividad de particulares.
Ley que incorpora los delitos informáticos al Código Penal LEY Nº 27309
Artículo 207º-A.- El que utiliza o ingresa indebidamente a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para interferir, interceptar, acceder o copiar información en tránsito o contenida en una base de datos, será reprimido con pena privativa de libertad no mayor de dos años o con prestación de servicios comunitarios de 52 a ciento cuatro jornadas.
LEYES
DECRETO LEGISLATIVO Nº 681 DICTAN NORMAS QUE REGULAN EL USO DE TECNOLOGÍAS AVANZADAS EN MATERIA DE ARCHIVO DE DOCUMENTOS E INFORMACIÓN TANTO RESPECTO DE LA ELABORADA EN FORMA CONVENCIONAL COMO LA PRODUCIDA POR PROCEDIMIENTOS INFORMÁTICOS EN COMPUTADORAS
MICROFORMA MICRODUPLICADO MICROGRABACION MICROARCHIVO
PREVENCIÓN DE RIESGOS INFORMÁTICOS Conocer las vulnerabilidades de la empresa
Prevención de riesgos informáticos Conocer el impacto de las incidencias
MITOS Si invierto en tecnologĂa no hay problema
Si tengo un cortafuegos estoy protegido
Mitos La seguridad informĂĄtica es un concepto joven
Lo de TI es secundario
VERDADES Riesgos es IP a su prevenci贸n
El 100% de seguridad no existe
Verdades Recuperar la normalidad del servicio en el menor tiempo
Se debe buscar protecci贸n en todas las 谩reas
PLAN DE PREVENCIÓN DE RIESGOS Análisis
Plan de control
Revisión de defensas
Plan de prevención de riesgos
Soluciones concretas
Visión y control global de TI
Entorno jurídico
Revisión de procedimie ntos
PRECAUCIONES
Concentrar informaci贸n en un solo lugar
Depender de una sola persona
No documentar el proceso
Ataques f铆sicos
Mala infraestructura
¿CÓMO PREVENIR LOS RIESGOS? ¿Cuánto valor tiene la información de la empresa? ¿Cuánto estamos dispuestos a invertir para protegerla?
Tener un plan de contingencias Protección Usuario
GRACIAS