Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Actividades
GLOSARIO
ACTIVO INFORMÁTICO: Se define como todo aquello pueda generar valor para la
empresa u organización y que éstas sientan la necesidad de proteger. Un activo o
recurso informático está representado por los objetos físicos (hardware, como los
routers, switches, NAC, firewalls, cámaras, computadoras), objetos abstractos
(software, sistemas de información, bases de datos, sistemas operativos) e incluso el
personal de trabajo y las oficinas.
AMENAZA: Es el potencial que un intruso o evento explote una vulnerabilidad
específica. Es cualquier probabilidad que pueda ocasionar un resultado indeseable para
el Banco Mexicano de Desarrollo o para un activo en específico. Son acciones que
puedan causar daño, destrucción, alteración, pérdida o relevancia de activos que
podrían impedir su acceso o prevenir su mantenimiento.
ATAQUE: Es cualquier intento no autorizado de acceso, uso, alteración, exposición,
robo, indisposición o destrucción de un activo.
CONTROL DE SEGURIDAD: Es un conjunto de normas, técnicas, acciones y
procedimientos que interrelacionados e interactuando entre sí con los sistemas y
subsistemas organizacionales y administrativos, permite evaluar, comparar y corregir
aquellas actividades que se desarrollan en las organizaciones, garantizando la ejecución
de los objetivos y el logro de las metas institucionales.
EVENTO: Es una situación que es posible pero no certera; es siempre un evento futuro
y tiene influencia directa o indirecta sobre el resultado. Un evento se trata como un
suceso negativo y representa algo indeseado.
IMPACTO: Es la cantidad de daño que puede causar una amenaza que explote una
vulnerabilidad.
POLÍTICAS DE SEGURIDAD: Es un documento que define el alcance de la
necesidad de la seguridad para la organización y discute los activos que necesitan
protección y el grado para el cual deberían ser las soluciones de seguridad con el fin de
proveer la protección necesaria
RIESGO INFORMÁTICO: Es la probabilidad de que una amenaza en particular
expone a una vulnerabilidad que podría afectar a la organización. Es la posibilidad de
que algo pueda dañar, destruir o revelar datos u otros recursos.
https://www.pmg-ssi.com/2014/01/isoiec-27005-gestion-de-riesgos-de-la-
seguridad-la-informacion
ALCANCE Y OBJETIVO.
Sin embargo, este diagnóstico es válido sólo para ese momento puntual en el tiempo.
No es algo estático sino que va a cambiar a lo largo del tiempo: nuevos activos, nuevas
amenazas, modificación en la ocurrencia de las amenazas (pensar por ejemplo en el
caso del phishing como esta amenaza ha pasado a ser extremadamente frecuente en
este último año). Por tanto, cada año la organización debe replantearse su diagnóstico y
cuestionarse si tiene nuevos síntomas o si los síntomas detectados han sido ya
mitigados y se pueden tratar otras carencias de menor importancia. La mejora continua
afecta también al riesgo ya que si los niveles más altos se han solucionado, lo lógico es
plantearse para el siguiente año atacar los siguientes.
o Desarrollar criterios
Se deben considerar aspectos operativos, de factibilidad técnica, de
costo-beneficio, medio ambiente, legales, etc.
IDENTIFICAR RIESGOS.
Las principales preguntas son: qué, cuándo, cómo y por qué pueden suceder.
Ejemplos de vulnerabilidades y amenazas (ISO 27005:2011):
Son una extracción del Anexo D –Vulnerabilidades y Amenazas de la norma ISO
27005:2011, como ejemplo.
Es de vital importancia, cuidar la forma en que llevaremos a cabo esta fase, ya que los
riesgos que no están identificados, es muy probable que sean omitidos, pues será difícil
que salgan estas fases posteriores.
insuficiente
Procesamiento ilegal de
Falta de mecanismos de monitoreo
datos
Uso inadecuado o descuido de controles Destrucción de equipo o
de acceso físico a edificio y cuartos. medios
Centro de Pérdida de provisión de
Alimentación de energía inestable
datos energía eléctrica y servicios
Falta de protección física del edificio,
Robo de equipo
puertas y ventanas
Falta de procedimientos formales para
Abuso de privilegios
el registro y des-registro de usuarios
Falta de procedimientos para el
Organización monitoreo de instalaciones de Abuso de privilegios
procesamiento de información
Brechas de mantenimiento
Mantenimiento de servicios inadecuado
de sistemas de información
ANÁLISIS DE RIESGOS.
En esta fase tenemos que entender los riesgos para tomar decisiones sobre las acciones
que se requieran para enfrentar el riesgo, como su tratamiento, prioridad y sobre todo
el costo-beneficio de las soluciones, esto implica considerar las fuentes del riesgo, sus
consecuencias positivas y negativas y la probabilidad de que esas consecuencias se
materialicen y causen un impacto económico en el Banco.
BIBLIOGRAFÍA.
Fernández Sánchez, C. (2012-01-01). AENOR - Asociación Española de
Normalización y Certificación.
Ramírez Castro, A. (2011). Gestión de Riesgos tecnológicos basada en ISO
31000 e ISO 27005 y su aporte a la continuidad de negocios. Ingeniería, 16(2),
56.
Amador-Donado, S. (2014-12-14). Gestión del riesgo con base en ISO27005
adaptando OCTAVE-S.
NORMAS.
ISO-27005
ISO-31000
SITIOS DE INTERNET.
http://segweb.blogspot.mx/2012/04/27005.html
https://universidadvirtual.sdr.com.mx
http://sisbib.unmsm.edu.pe
https://www.audea.com/analisis-de-riesgos-iso-27005-vs-magerit-y-otras-
metodologias/