Actividad 2
Un activo debe estar protegido ya que es muy valioso para la organización.Es una parte,componente o funcionalidad con valor de un sistema de información propenso a ser atacado.
Los diferentes tipos de activos son:
Activos de información,activos físicos,activos de servicios,activos humanos.
Según MAGERIT se clasifican los activos por ámbitos:
Datos,Servicios,Software,Hardware,Soportes de información,equipamiento auxiliar,redes de comunicaciones,instalaciones,personal...
Según la norma UNE 71504 hay nueve tipos de activo:
activos de información,activos de datos,servicios,aplicación(software),equipos(hardware),comunicaciones,recursos administrativos,recursos físicos,recursos humanos.
Mediante una adecuada gestión de sus activos, las empresas pueden obtener oportunidades para llegar a un nivel superior de sus propios recursos, combinarlos para construir capacidades valiosas, y optimizarlos para aprovechar todo su potencial.
Mediante una adecuada gestión de sus activos, las empresas pueden obtener oportunidades para llegar a un nivel superior de sus propios recursos, combinarlos para construir capacidades valiosas, y optimizarlos para aprovechar todo su potencial.
Activos de información
Los activos de información son los recursos que utiliza un Sistema de Gestión de Seguridad de la Información para que las organizaciones funcionen y consigan los objetivos que se han propuesto por la alta dirección.Uno de los primeros pasos que debe seguir la entidad para adaptarse a la norma ISO 27001 es llevar a cabo un inventario de activos de información. Tendrán los activos de información que representan algún valor para la empresa y que quedan dentro del alcance del SGSI.
Datos digitales
Personales,financieros,investigación y desarrollo,correo electrónico,contestadores automáticos,bases de datos,copia de seguridad
Activos tangibles
Secretos comerciales,otro materiales de copia de seguridad.
Llaves de oficinas
Otros medios de almacenamiento
Activos intangibles
Conocimiento,licencias,relaciones,patentes,experiencia,conocimientos técnicos,imagen corporativa, marca,reputación comercial,confianza de los clientes.
Infraestructura
Edificios,centros de datos,habitaciones de equipos y serrvidores,armarios de red,oficinas,escritorios,cajones,archivadores,salas de almacenamiento de medios físicos,dispositivos de identificación.,acondicionadores,autentificación,control de acceso al personal,otros dispositivos de seguridad
Sistemas de alimentación ininterrumpida
Controles de entorno
Supresión contra incendio,Alimentación de potencia,Filtros,Supresores de potencia,Deshumificadores,RefrigeradoresAlarmas de aire,Alarmas de agua.
Controles de entorno
Supresión contra incendio,Alimentación de potencia,Filtros,Supresores de potencia,Deshumificadores,RefrigeradoresAlarmas de aire,Alarmas de agua.
Hardware
Dispositivos de almacenamiento,Ordenadores de mesa,Estaciones de trabajo,Ordenadores portátiles,Equipos de mano,Servidores,Módems,Líneas de terminación de red,Dispositivos de comunicaciones,Equipos multifunción
-Activos de servicios.
Trata de conservar información acerca de Elementos de Configuración (CI) requeridos en la prestación de un servicio de TI, incluyendo las relaciones entre los mismos.
Servicios de autenticación de usuario,Administración de procesos,Enlaces,Cortafuegos,Servidores proxy,Servicios de red,Servicios inalámbricos,Anti-spam,Virus,Spyware,Detección y prevención de intrusiones,Teletrabajo,Seguridad,Correo electrónico,Mensajería instantánea,Servicios web,Contratos de soporte,Mantenimiento de software
-Activos humanos
Es el trabajo que aporta el conjunto de los empleados o colaboradores de una organización. La administración de los activos humanos, de los Recursos humanos, hace referencia al manejo, administración, gestión o dirección del personal de la organización.
Empleados/Internos
Personal y directivos,Participar los que tienen roles de gestión como altos cargos,Arquitectos de software y desarrolladores
Administradores de sistemas,Administradores de seguridad,Operadores,Abogados,Auditores,Usuarios con poder,Expertos en general
Externos
Trabajadores temporales,Consultores externos,Asesores especialistas,Contratistas especializados,Proveedores, Socios
Actividad 3
Amenaza:causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización.
Amenaza:causa potencial de un incidente no deseado, el cual puede causar el daño a un sistema o la organización.
Riesgo:Posibilidad de que una amenaza concreta pueda explotar una
vulnerabilidad para causar una pérdida o daño en un activo de
información
Amenazas que pueden tener los activos de una organización.
1.Vulnerabilidad.La vulnerabilidad de un activo de seguridad es la potencialidad o la posibilidad de que se materialice una amenaza sobre el activo de información.Hay dos tipos de vulnerabilidad: intrínseca y efectiva.
2.Degradación.Se ve el grado que puede ser el activo afectado.
3.Impacto.Estimación económica de la degradación del activo y los que dependen de él.
4.Riesgo intrínseco.Estimación que se calcula para reflejar lo que perdería la organización si se materializara las amenazas sobre el activo,en el caso de no disponer de un salvaguardas.
5.Riesgo efectivo.Estimación que se calcula para reflejar lo que perdería una organización al materializar todas las amenazas sobre un activo en el supuesto de que funcione un salvaguardas con el grado de implantación previsto.
5.Riesgo mínimo.Estimación calculada para reflejar lo que perdería una empresa si se materializan todas las amenazas sobre un activo con salvaguardas en funcionamiento previstas al 100%.
1.Vulnerabilidad.La vulnerabilidad de un activo de seguridad es la potencialidad o la posibilidad de que se materialice una amenaza sobre el activo de información.Hay dos tipos de vulnerabilidad: intrínseca y efectiva.
2.Degradación.Se ve el grado que puede ser el activo afectado.
3.Impacto.Estimación económica de la degradación del activo y los que dependen de él.
4.Riesgo intrínseco.Estimación que se calcula para reflejar lo que perdería la organización si se materializara las amenazas sobre el activo,en el caso de no disponer de un salvaguardas.
5.Riesgo efectivo.Estimación que se calcula para reflejar lo que perdería una organización al materializar todas las amenazas sobre un activo en el supuesto de que funcione un salvaguardas con el grado de implantación previsto.
5.Riesgo mínimo.Estimación calculada para reflejar lo que perdería una empresa si se materializan todas las amenazas sobre un activo con salvaguardas en funcionamiento previstas al 100%.
Podemos emplear cuatro causas amenazadoras: no humanas, humanas
involuntarias, humanas intencionales que necesitan presencia física y
humana intencional que proceden de un origen remoto.
En los activos de información puede haber amenaza no intencionada como errores de administración o una configuración errónea.También hay amenazas intencionados como los robos,la manipulación o instrucción.Tiene una vulnerabilidad de descuido de parte de los usuarios en el manejo de la información,robo de información,pérdida de información vital.
En los activos de software está los accesos no autorizados y las configuraciones erróneas también.
En activos físicos está las amenazas como los desastres naturales como incendios,inundaciones.Hay desastres no naturales como los incendios producidos,daños malintencionados de las instalaciones.Eventos intencionados como robo o destrucción de los equipos y eventos no intencionados como la pérdida del equipamiento.La vulnerabilidad es la ubicación insegura de los equipos.
Los activos humanos en amenazas podemos encontrar ejemplos como el robo de contraseñas.La vulnerabilidad es la falta de capacitación de una persona.
Activos de servicios,amenazas como los desastres naturales que pueden ser las inundaciones e incendios.Incidentes de origen no natural, como incendios producidos,daños malintencionados de instalaciones,cuya vulnerabilidad es daño de iluminación,daño en el aire acondicionado,filtración de personas ajenas a la organización.
El riesgo aumenta cuando las amenazas y las vulnerabilidades afectan a los activos que sufrirán unos impactos.
En los activos de información puede haber amenaza no intencionada como errores de administración o una configuración errónea.También hay amenazas intencionados como los robos,la manipulación o instrucción.Tiene una vulnerabilidad de descuido de parte de los usuarios en el manejo de la información,robo de información,pérdida de información vital.
En los activos de software está los accesos no autorizados y las configuraciones erróneas también.
En activos físicos está las amenazas como los desastres naturales como incendios,inundaciones.Hay desastres no naturales como los incendios producidos,daños malintencionados de las instalaciones.Eventos intencionados como robo o destrucción de los equipos y eventos no intencionados como la pérdida del equipamiento.La vulnerabilidad es la ubicación insegura de los equipos.
Los activos humanos en amenazas podemos encontrar ejemplos como el robo de contraseñas.La vulnerabilidad es la falta de capacitación de una persona.
Activos de servicios,amenazas como los desastres naturales que pueden ser las inundaciones e incendios.Incidentes de origen no natural, como incendios producidos,daños malintencionados de instalaciones,cuya vulnerabilidad es daño de iluminación,daño en el aire acondicionado,filtración de personas ajenas a la organización.
El riesgo aumenta cuando las amenazas y las vulnerabilidades afectan a los activos que sufrirán unos impactos.
Existen determinados salvaguardas que protegen a los activos de las amenazas.
Cuando identificamos los activos los riesgos y amenazas creamos un análisis y gestión de riesgos de los S.I .
Del 1 al 10,siendo 10 el valor máximo de riesgo y deterioro.
| Activos de información | Activos físicos | Activos de servicios | Activos humanos | |
| Amenazas | 8 | 9 | 6 | 7 |
| Vulnerabilidades | 6 | 5 | 4 | 4 |
No hay comentarios:
Publicar un comentario