AMENAZASVULNERABILIDADES

Y RIESGOS

Dr. Raúl Salazar Tabarné

Nivel de Riesgo Siempre existe un nivel de riesgo.

El nivel de riesgo mide el grado de seguridad de una organización basado en las vulnerabilidades, el valor de la información y la probabilidad de ser atacados (amenazas) al momento de efectuar el análisis.

“La seguridad debe partir del análisis y la evaluación de riesgos”

RIESGOS EN LOS S.I

VULNERABILIDAD

AMENAZAS

Nivel de Riesgo

R = V * A * VI

R = riesgoV = vulnerabilidadA = amenazaVI = valor de la Información

Nivel de RiesgoEl valor de pérdida potencial en que se encuentra la organización se obtiene de la siguiente fórmula:

ALE = VI * EF *ARO

ALE = Pérdida anual esperadaVI = Valor de la InformaciónARO = Razón de ocurrencia anualEF = Factor de exposición. En función de lasamenazas y vulnerabilidades

Nivel de RiesgoEl factor de exposición (EF)

define el nivel de riesgo de la organización, ya que si no existen vulnerabilidades, no existe riesgo.

Las amenazas siempre existen, pero si no pueden ser efectivas, entonces su acción puede ser descartada.

Nivel de RiesgoEjm:

Un site de e-commerce alojado en un servidor web. Laprobabilidad de que este servidor falle al año es de 20%.

Si el site contenido en este servidor genera $100 en una hora y se estima que puede estar fuera de servicio por 2, entonces su costo del riesgo será de $200.

Si el servidor cuesta $4000:

Calcular la pérdida anual esperada (ALE), teniendo en cuenta que VI * EF representa el valor del servidor más el costo del riesgo.

Nivel de RiesgoSolución:

ALE = VI * EF *AROALE = 4200 * 0.2

ALE = $ 840

Esto quiere decir que debo tener dentro de mi presupuesto, una cantidad de $840 anuales para manejar el riesgo.

Análisis de RiesgoEs un proceso formal por el cual laorganización toma conciencia de cuáles son:

Estos activos en sus activos de información De cuál es el valor de la pérdida de uno de

sus atributos

De cómo están amenazados y

De su vulnerabilidad.

Análisis de Riesgo Permite crear medidas y técnicas que los prevengan, impidan o controlen.

Permiten auditar el grado de seguridad del sistema y adaptar los mecanismos de

control según avancen las técnicas o se descubran nuevos riesgos.

Análisis de Riesgopor qué son necesarios?

Ahorro de costes en la implantación de salvaguardas y el aumento de su efectividad para la organización. Permiten auditar el grado de seguridad del

sistema y adaptar los mecanismos de control según avancen las técnicas o se descubran nuevos riesgos.

Análisis de RiesgoPASOS

1. Descripción de la actividad

2. Identificación de riesgos potenciales

3. Diagrama de flujo

4. Hoja para análisis de riesgos

5. Diagrama de la decisión para identificar puntos de control críticos.

Matriz de Análisis de Riesgos

1 = Insignificante (incluido Ninguna)2 = Baja3 = Mediana4 = Alta

Bajo Riesgo = 1-6 (verde)Medio Riesgo = 8-9 (amarillo)Alto Riesgo = 12-16 (rojo)

POR QUÉ LAS EMPRESAS NECESITAN LAS T.I. ?

Roles fundamentales de las T. I. Las T.I. están reestructurando la base de los negocios.

Son factores claves en los procesos de producción y creación de riqueza.

De qué forma?

Servicio al cliente

Operaciones

Estrategias de producto / mkt

Distribución

Roles fundamentales de las T. I. Las T.I. y su costo se han convertido en un aspecto cotidiano de la vida empresarial, sobre todo en aquellas naciones que van a la vanguardia del desarrollo.

Apoyo a la ventaja estratégica

Apoyo a la toma de decisiones gerenciales

Apoyo a las operaciones comerciales

Roles fundamentales de las T. I. Los S.I. desempeñan tres papeles esenciales en cualquier tipo de organización:

1. Respaldar las operaciones empresariales.

2. Respaldar la toma de decisiones gerenciales.

3. Respaldar la ventaja competitiva estratégica

El valor creciente de las T.I. Los gerentes necesitan toda la ayuda que pueden obtener.

Los objetivos estratégicos de las organizaciones y sus procesos empresariales están experimentando cambios significativos y transitorios, ejerciendo una gran presión sobre las empresas y sus gerentes.

La Empresa interconectada en Red Internet está cambiando la manera como se manejan las

empresas y trabajan las personas y la manera como la T.I. respalda las operaciones comerciales y las actividades de trabajo de los usuarios finales.

Las empresas se están convirtiendo en empresas interconectadas en red.

El comercio electrónico es la compra y venta, el marketing y

mantenimiento de productos, servicios e información sobre una variedad de redes de computador.

Algunas herramientas de T.I.

CRM (Customer Relationship Management )

ASP (Active Server Pages)

CMS (Content Management System)

ERP (Enterprise Resource Planning)

. NET

CRM: Gestión de relaciones con el cliente

CRM es la respuesta de la tecnología a la creciente necesidad de las empresas de fortalecer las relaciones con sus clientes.

MAXIMIZAR LA RENTABILIDAD

Su objetivo es aumentar, proteger y tener relación con los clientes

ERP: Sistemas de Planificación de Recursos de la Empresa

Sistemas de información que integran aplicaciones informáticas para gestionar todos los departamentos y funciones de una empresa.

CMS (Content Management System)

.NET

E-business (negocios en línea) Es un sistema de información a la cual se le delegan procesos de negocios.

Comprende el uso tanto de tecnología como de nuevas estrategias de negocios para realizar negocios en línea.

El negocio en línea provee un canal de ventas, marketing, e información on-line.

E-commerce (comercio electrónico) Comprende la compra, venta, marketing, y servicios para

productos o servicios por medio de redes de computadoras.

Es una aplicación del e-business aplicada a transacciones comerciales.

Forma parte del negocio en línea.

Es un componente más del e-business.

GRACIAS