Riesgos en Seguridad de Información
Enviado por jaime moreno alvarez • 20 de Septiembre de 2018 • Prácticas o problemas • 1.096 Palabras (5 Páginas) • 94 Visitas
Nombre: Ricardo Estrada | Matrícula: 2590207 |
Nombre del curso: Administración de Riesgos | Nombre del profesor: Eduardo Velázquez Esquivel |
Módulo: Módulo 1. Riesgos en Seguridad de Información | Actividad: Actividad 1. Amenazas más críticas del negocio |
Fecha: 12 de Noviembre de 2010 | |
Bibliografía: ISACA. (2007). Manual de Preparación al Examen CISA 2007. ISACA. (ISBN: 1933284668) |
Objetivo:
El objetivo de esta actividad es el conocer el concepto y ejemplos de amenazas de Seguridad de Información y conocer las filosofías de los modelos de análisis de riesgo.
Procedimiento:
Resultados:
Ejercicio
El Hospital “Santa Cecilia”, el cual cuenta con más de 100 años de operación en la ciudad de Monterrey. Cuenta con tres hospitales satélites en donde se atienden urgencias y medicina familiar. Desde hace dos años implementó un sistema para sistematizar las historias clínicas de sus pacientes. Al momento llevan un 30% de avance en la captura de esa información, por lo que existe todavía gran cantidad de información en archivos de papel. Cuenta con más 300 equipos de cómputo conectados a través de su red local, los cuales mantienen estrecha comunicación con el equipo central. Así mismo maneja conexiones con aseguradoras para la transferencia de información referente a trámites de sus pacientes. Hace cinco años el hospital se conectó a Internet, ya que esto facilitaba la comunicación con sus clientes y proveedores. Existen canales de comunicación tales como el correo electrónico y mensajería, por donde fluye todo tipo de información (incluyendo la transferencia de archivos). A mediados del año pasado lanzó su portal del área de laboratorio y check up, con lo cual sus clientes pueden acceder a sus resultados de laboratorio y enviárselos a su doctor. Adicionalmente ofrece servicio de acceso remoto a la red corporativa a los ejecutivos del hospital y algunos doctores. Dentro de los planes de expansión, el hospital está considerando asociarse con la clínica Mayo con el fin de transferir tecnología.
| |
| |
| Solicitud: La alta dirección solicitó implementar un programa de seguridad de información y como primer paso está solicitando que determines 6 amenazas a la seguridad de información. |
Identificación de amenazas.
Una vez que conocemos los recursos que debemos proteger es la hora de identificar las vulnerabilidades y amenazas que se ciernen contra ellos. Una vulnerabilidad es cualquier situación que pueda desembocar en un problema de seguridad, y una amenaza es la acción específica que aprovecha una vulnerabilidad para crear un problema de seguridad; entre ambas existe una estrecha relación: sin vulnerabilidades no hay amenazas, y sin amenazas no hay vulnerabilidades.
Software Malicioso - Conocidos con este nombre como diminutivo de “Malicious Software”, es un tipo de software diseñado para hacer daño como los virus, gusanos y troyanos. Estas amenazas podrían afectar la Integridad, Disponibilidad y/o la Confidencialidad de la información.
Ejemplos como Blaster, SQL Slammer son ataques conocidos usando Software Malicioso.
DoS (Denial of Service/ Denegación de Servicios) - Una forma de ataque que se usa por medio de un arreglo de sistemas conectados a Internet para lanzar un ataque empleando tráfico legítimo contra un solo sitio, lo cual no afecta la integridad ni la confidencialidad, sino la disponibilidad del servicio o de la información.
Este tipo de amenaza es común que afecte a organizaciones que son blancos de ataques por grupos organizados que logran impactar, casos muy conocidos son el del sitio ebay donde se causó una caída del sitio por más de 12 horas perdiendo mucho dinero e imagen.
Acceso no Autorizado – Son técnicas variadas por usuarios no autorizados a accesar la información ya sea de lectura o de escritura, estos pueden ser utilizados aprovechando vulnerabilidades en los sistemas de información, malas configuraciones en los sistemas, etc.;
...