Please enable JavaScript.
Coggle requires JavaScript to display documents.
PROCESO DE ANALISIS Y CIBERSEGURIDAD Julissa Llumiquinga, image,…
PROCESO DE ANALISIS Y CIBERSEGURIDAD
Julissa Llumiquinga
La ciberseguridad se centra en la protección de sistemas, redes y programas de ataques digitales; los ciberataques apuntan a acceder, modificar o destruir la información confidencial.
Las fases de un análisis de riesgos dependen de la metodología escogida, o se puede utilizar las fases que son comunes en la mayor parte de las metodologías para el análisis de riesgos.
Fase 2: Identificar y seleccionar los activos
Para realizar un análisis de riesgos efectivo, es fundamental identificar y seleccionar los activos de la organización.
Estos activos incluyen los recursos relacionados con la gestión e intercambio de información de la organización.
Fase 1:Definir el alcance
Para realizar el procero de análisis de riesgos, es fundamental establecer el alcance del estudio.
Por ejemplo se pude considerar que el alcance escogido para el análisis de riesgos es la UTICS.
Fase 3: Identificar riesgos y amenazas
Luego de identificar todos los activos de información que dispone la organización, deben definirse las amenazas a las que pueden estar expuestos.
Estas amenazas pueden ser de diferente tipo, como ataques externos, desastres naturales, errores humanos y entre otros.
:black_flag:
Errores humanos
La intervención humana en los procesos informáticos siempre está expuesta a que se cometan errores.
:black_flag:
Desastres naturales
Es posible que se den situaciones que pongan en peligro los activos informáticos de la organización.
:black_flag:
Ataques externos
Los ciberdelincuentes realizan el seguimiento a las organizaciones y sus sistemas.
:black_flag:
Situaciones extraordinarias
Las crisis a menudo reducen los niveles de alerta y protección y llevan a los ciberdelincuentes a aprovecharse de esta situación.
Los riesgos se producen al existir una amenaza que tenga consecuencias negativas para los sistemas de información de la organización.
El análisis de riesgos debe recoger información detallada de todos los riesgos a los que se ve expuestos y cómo afectan a la organización.
Fase 4. Detectar vulnerabilidades
Es importante determinar las características de los activos para identificar puntos débiles o vulnerabilidades.
Las vulnerabilidades se presentan en activos informáticos y presentan un riesgo para la información.
:<3:La falta de actualización de los sistemas operativos que no incluyen los últimos parches en materia de seguridad.
:<3:El uso de contraseñas de acceso frágiles como contraseñas cortas que no utilizan combinaciones de letras, números, símbolos,etc.
:<3:Generalmente las vulnerabilidades que suelen encontrarse en el análisis de riesgos informáticos.
Fase 5. Evaluar el riesgo
Para cada par activo-amenaza, es fundamental estimar la probabilidad de que la amenaza se materialice y el impacto sobre el negocio que esto produciría.
A continuación se muestra las tablas para estimar los factores probabilidad e impacto.
El cálculo de riesgo se puede realizar usando tanto criterios cuantitativos como cualitativos.
El análisis de riesgos requiere de la elaboración y consolidación de informes sobre la ciberseguridad y las distintas medidas aplicadas.
Fase 6. Medidas de prevención y control
Después de identificar las amenazas y vulnerabilidades de los sistemas y definidos todos los riesgos y sus consecuencias.
Es fundamental establecerse una serie de medidas y tratamientos de riesgo con dos objetivos claros.
Evitar que se produzca el riesgo o minimizar su impacto en
caso de que llegue a producirse.
Añadir protocolos de seguridad para reforzar la seguridad de las contraseñas.
Revisión de los perfiles (roles) y privilegios de los usuarios, asignación de los roles con mayores privilegios
Implementación de sistemas de seguridad en la nube automatizados y planes de Disaster Recovery.
Contratación de un seguro que cubra los daños ocasionados.
Instalación de software de seguridad y cortafuegos (por software ohardware).
Implementación de sistemas alternativos o duplicados para asegurar la disponibilidad del sistema.
Elaborado por:
Julissa Llumiquinga
ID:
L00411568