Transformada de Laplace (Ejercicios UNIDAD III)Asignacion unidad iii
Unidad III a Pdf268019658
-
Upload
juancarlosbolano -
Category
Documents
-
view
60 -
download
33
Transcript of Unidad III a Pdf268019658
METODOLOGÍAS DE CONTROL METODOLOGÍAS DE CONTROL
CAPITULO Nº 03
METODOLOGÍAS DE CONTROL METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y INTERNO, SEGURIDAD Y
AUDITORÍA INFORMÁTICAAUDITORÍA INFORMÁTICA
3.1.3.1. INTRODUCCIÓN A LAS METODOLOGÍASINTRODUCCIÓN A LAS METODOLOGÍAS
MetodologíaMetodología:: ConjuntoConjunto dede métodosmétodos queque sese siguensiguen enen unaunainvestigacióninvestigación científicacientífica oo enen unauna exposiciónexposición doctrinaldoctrinal..
LasLas MetodologíasMetodologías usadasusadas porpor unun profesionalprofesional dicendicen muchomucho dede susuformaforma dede entenderentender susu trabajotrabajo yy estánestán directamentedirectamente relacionadasrelacionadasformaforma dede entenderentender susu trabajotrabajo yy estánestán directamentedirectamente relacionadasrelacionadasconcon susu experienciaexperiencia profesionalprofesional acumuladaacumulada comocomo parteparte deldelcomportamientocomportamiento humanohumano dede acierto/erroracierto/error..
LaLa metodologíametodología eses necesarianecesaria parapara queque unun equipoequipo dedeprofesionalesprofesionales alcancealcance unun resultadoresultado homogéneohomogéneo taltal comocomo sisi lolohicierahiciera unauna solo,solo, porpor lolo queque resultaresulta habitualhabitual elel usouso dedemetodologíasmetodologías enen laslas empresasempresas auditoras/consultorasauditoras/consultoras..
3.1.3.1. INTRODUCCIÓN A LAS METODOLOGÍASINTRODUCCIÓN A LAS METODOLOGÍAS
SeguridadSeguridad dede loslos SistemasSistemas dede InformaciónInformación:: eses lala doctrinadoctrinaqueque tratatrata dede loslos riesgosriesgos informáticosinformáticos oo creadoscreados porpor lalainformáticainformática..
LaLa informáticainformática creacrea unosunos riesgosriesgos informáticosinformáticos dede loslos queque hayhay quequeLaLa informáticainformática creacrea unosunos riesgosriesgos informáticosinformáticos dede loslos queque hayhay quequeprotegerproteger yy preservarpreservar aa lala entidadentidad concon unun entramadoentramado dedecontramedidas,contramedidas, yy lala calidadcalidad yy lala eficaciaeficacia dede laslas mismasmismas..
ParaPara explicarexplicar esteeste aspectoaspecto diremosdiremos queque cualquiercualquier contramedidacontramedidanacenace dede lala composicióncomposición dede variosvarios factoresfactores expresadosexpresados enen elelsiguientesiguiente graficografico::
3.1.3.1. INTRODUCCIÓN A LAS METODOLOGÍASINTRODUCCIÓN A LAS METODOLOGÍAS
NORMAS
ORGANIZACION
METODOLOGÍA
NORMATIVA , debe definir todo loque debe existir y ser cumplidotanto desde el punto de vistaconceptual, cómo práctico.
ORGANIZACIÓN , es la queintegran personas con funciones
OBJETIVOS DE CONTROL
PROCESAMIENTO
TECNOLOGIAS DE SEGURIDAD
HERRAMIENTAS DE CONTROL
integran personas con funcionesespecíficas y con actuacionesconcretas; éste es el aspecto másimportante, dado que in él, nada esposible.
METODOLOGÍAS , son necesariaspara desarrollar cualquier proyectoque nos propongamos de maneraordenada y eficaz.
3.1.3.1. INTRODUCCIÓN A LAS METODOLOGÍASINTRODUCCIÓN A LAS METODOLOGÍAS
NORMAS
ORGANIZACION
METODOLOGÍA
OBJETIVOS DE CONTROL, sonlos objetivos a cumplir en el controlde procesos , este es el segundomás importante.
PROCESAMIENTO, son losprocedimientos operativos de las
OBJETIVOS DE CONTROL
PROCESAMIENTO
TECNOLOGIAS DE SEGURIDAD
HERRAMIENTAS DE CONTROL
procedimientos operativos de lasdistintas áreas de la empresa, latendencia habitual de losinformáticos es la de dar más pesoa las herramientas que al control ocontramedida, pero no debemosolvidar que: “UNA HERRAMIENTANUNCA ES UNA SOLUCION SINOUNA AYUDA PARA CONSEGUIRUN CONTROL MEJOR”
3.1.3.1. INTRODUCCIÓN A LAS METODOLOGÍASINTRODUCCIÓN A LAS METODOLOGÍAS
NORMAS
ORGANIZACION
METODOLOGÍA
TECNOLOGÍAS DE SEGURIDAD,es donde están todos los elementosya sean Hardware o software, queayudan a controlar un riesgoinformático.
OBJETIVOS DE CONTROL
PROCESAMIENTO
TECNOLOGIAS DE SEGURIDAD
HERRAMIENTAS DE CONTROL
LAS HERRAMIENTAS DECONTROL, son elementos softwareque permiten definir uno o variosprocedimientos de control paracumplir una normativa y un objetivode control
3.1.3.1. INTRODUCCIÓN A LAS METODOLOGÍASINTRODUCCIÓN A LAS METODOLOGÍAS
•• PlanPlan dede SeguridadSeguridad:: eses unauna estrategiaestrategia planificadaplanificada dede accionesacciones yyproductosproductos queque llevenlleven aa unun sistemassistemas dede informacióninformación yy sussus centroscentros dedeprocesoproceso dede unauna situaciónsituación inicialinicial determinadadeterminada aa unauna situaciónsituación mejoradamejorada..enen elel siguientesiguiente graficografico sese observaráobservará lala tendenciatendencia actualactual enen lalaorganizaciónorganización dede lala seguridadseguridad dede sistemassistemas enen lala empresaempresa..
Organización Interna de la Seguridad Informática
Auditoria InformáticaAuditoria Informática
Plan AuditorPlan Auditor
Comité de Seguridad de la InformaciónComité de Seguridad de la Información
Seguridad corporativaSeguridad corporativa
Control InternoControl Interno
Dpto. de InformáticaDpto. de Informática
Dpto. de UsuariosDpto. de Usuarios
Dirección del plan de seguridadDirección del plan de seguridad
Control InformáticoControl Informático
Responsable de FicherosResponsable de Ficheros
Organización Interna de la Seguridad Informática
3.2 Metodologías de 3.2 Metodologías de Evaluación de SistemasEvaluación de Sistemas
3.2.1 Conceptos Fundamentales3.2.1 Conceptos Fundamentales
� Análisis de Riesgos
� Auditoria Informática
Amenaza
Definiciones para profundizar las metodologías
3.2.1 Conceptos Fundamentales3.2.1 Conceptos Fundamentales
Amenaza
Vulnerabilidad
Riesgo
Exposición o Impacto
Todos los riesgos que se presentan podemos:
Evitarlos
3.2.1 Conceptos Fundamentales3.2.1 Conceptos Fundamentales
Evitarlos
Transferirlos
Reducirlos
Asumirlos
3.2.2.1 Metodologías cuantitativas
Basadas en un modelo matemático numérico que ayuda a la realización de trabajo.
3.2.2 Tipos de Metodologías3.2.2 Tipos de Metodologías
trabajo.
3.2.2.1 Metodologías Cualitativas/Subjetivas
Basadas en métodos estadísticos y raciocinio humano.Precisan de la involucración de un profesionalexperimentado. Pero requieren menos recursoshumanos que las metodologías cuantitativas.
CUANTITATIVACUANTITATIVA CUALITATIVA / SUBJETIVACUALITATIVA / SUBJETIVA
PPRROOSS
Enfoca pensamientos mediante el uso de números.Enfoca pensamientos mediante el uso de números.Facilita la comparación de vulnerabilidades muy Facilita la comparación de vulnerabilidades muy distintas .distintas .Proporciona una cifra “justificante” para cada Proporciona una cifra “justificante” para cada copntramedidacopntramedida
Enfoca lo amplio que se desee.Enfoca lo amplio que se desee.Plan de trabajo flexible y reactivo.Plan de trabajo flexible y reactivo.Se concentra en la identificación de eventos.Se concentra en la identificación de eventos.Incluye lectores intangibles.Incluye lectores intangibles.
CCOONNTTRRAASS
Estimación de probabilidad depende de estadísticas Estimación de probabilidad depende de estadísticas fiables inexistentes.fiables inexistentes.Estimación de las perdidas potenciales solo si son Estimación de las perdidas potenciales solo si son valores cuantificables.valores cuantificables.Metodologías estándares.Metodologías estándares.Difíciles de mantener o modificar.Difíciles de mantener o modificar.Dependencia de un profesional.Dependencia de un profesional.
Dependencia fuertemente de la habilidad y calidad Dependencia fuertemente de la habilidad y calidad del personal involucrado.del personal involucrado.Puede excluir riesgos significantes desconocidos Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para (depende de la capacidad del profesional para usar el checkusar el check--list/guía).list/guía).Identificación de eventos reales más claros al no Identificación de eventos reales más claros al no tener que aplicarles probabilidades complejas de tener que aplicarles probabilidades complejas de calcular.calcular.Dependencia de un profesional. Dependencia de un profesional.
3.2.3.1 Metodologías de Análisis de Riesgos
3.2.1 Metodologías más comunes3.2.1 Metodologías más comunes
Cuestionario Etapa 1
Funcionamiento Esquemático básico de cualquier paqu ete
Identificar los riesgos
Calcular el impacto
Identificar las contramedidas y el coste
Simulaciones
Creación de los informes
Etapa 2
Etapa 3
Etapa 4
Etapa 6
Etapa 5
3.2.3.1 Metodologías de Análisis de Riesgos
3.2.1 Metodologías más comunes3.2.1 Metodologías más comunes
De forma genérica las metodologías existentes se diferencian en:
• Si son cuantitativas o cualitativas, o sea si para el “Qué pasa sí…?” utilizan un modelo matemático o algun sistema cercano a la elección subjetiva.
• Y además se diferencian en el propio sistema de simulación.
�Metodologías cuantitativas :
�Basadas en FIPS 65�Método de IBM :�basado en técnica de DELPHI = consenso de expertos para determinar los costos.�RISKCALC�BDSS
�Metodologías cuantitativas :
�Basadas en FIPS 65�Método de IBM
�RISKCALC�BDSS
se considera la frecuencia, esta basada en las diferentes bitácoras , logs y reportes de incidentes. El impacto se determina en forma cuantitativa (valores Económicos). Lo ideal es poder expresar el impacto en términos económicos.
Tipos de metodologías de análisis de riesgo
�BDSS�Metodologías cualitativas:
�LAVA: Los Alamos Vulnerability/ Risk Assessment�RISKPAC�MARION�CRAMM
�BDSS�Metodologías cualitativas:
�LAVA: Los Alamos Vulnerability/ Risk Assessment�RISKPAC�MARION�CRAMM
No se tiene en cuenta la frecuencia para valorar los riesgos.La tabla muestra un claro ejemplo donde se emplea una matriz impacto/posibilidad de ocurrencia de una amenaza paradeterminar el nivel de riesgo que se tiene. "Aquí el riesgo indica las pérdidas ante la posibilidad de presentarse la amenaza
Probabilidad de ocurrencia
A =riesgos que requieren pronta atención,B =no es prioritario la toma de medidas
� Marion-Francia
Método de evaluación que ofrece dos productos:
� Sistemas individuales
� Sistemas distribuidos
Marion AP+
Marion RSX
Tipos de metodologías de análisis de riesgo
* No contempla probabilidades.* Contempla esperanzas matemáticas (aprox. numéricas)
Método cuantitativo basado en una encuesta anual al CLUSIF(base deIncidentes francesa)
Tipos de metodologías de análisis de riesgo
Marion
Comprende seis etapas:1. Identificar los incidentes e impactos sobre el SI.2. Decidir la perdida máxima aceptable y por lo tanto los
incidentes a cubrir.3. Estimar la calidad de medidas de seguridad existentes (a partir
de una lista cuestionario), identificando vulnerabilidades yde una lista cuestionario), identificando vulnerabilidades ycontra-medidas a implementar.
4. Identificar los factores financieros que dificulten laimplementación de las contra-medidas.
5. Producir una lista priorizada de contra-medidas6. Desarrollar un plan de acción.
Presenta resultados en forma gráfica, tabular y provee ungestionador del proyecto de seguridad.
Marion
� Utiliza cuestionarios para valorar la seguridad(SI=4,NO=0,No_aplicable=3).
� Parámetros correlacionados (representan graf. Distintas soluciones de contramedidas) en cada uno de los factores(27 en 6 categorías)
� categoría de factores
Tipos de metodologías de análisis de riesgo
1. Seguridad informática general2. Factores socioeconómicos3. Concienciación sobre la seguridad de soft4. Concienciación sobre la seguridad de materiales.5. Seguridad en explotación.6. Seguridad en desarrollo.
Marion
Valores de ponderación para diferentes sectores (ejemplos):SectorSector CATEGORCATEGORÍÍAA
11 Establecimientos financierosEstablecimientos financieros
bancosbancos
Tipos de metodologías de análisis de riesgo
22
33
AgriculturaAgricultura
EnergEnergííaa
ConstrucciConstruccióónn
MetalMetalúúrgicargica
TransporteTransporte
ComercioComercio
HospedajeHospedaje
Marion
El análisis de riesgo lo hace bajo 10 áreas problemas:�Riesgos materiales�Sabotajes físicos�Averías�Comunicaciones.�Errores de desarrollo
Tipos de metodologías de análisis de riesgo
�Errores de desarrollo�Errores de explotación�Fraude�Robo de información�Robo de software�Problemas de personal.
Marion
Tipos de metodologías de análisis de riesgo
Marion
Nota:- Las pérdidas posibles no deben nunca sobrepasar el “VALOR DERIESGO MAXIMO ADMISIBLE”
Tipos de metodologías de análisis de riesgo
Valor dado por un estudio del banco de
Francia para las distintasáreas sectoriales
� RISCKPAC
Herramientas de softwareMetodología aplicada en
Profile Analysis Corporationcon DATAPRO(1994)
Tipos de metodologías de análisis de riesgo
con DATAPRO(1994)
� enfoque cualitativa subjetiva� resultados exportables a
� procesadores de texto� BD.� Hojas de cálculo� sistemas gráficos
� RISCKPAC
FacilidadesDel sistema
�Calcula para cada aplicación un factor de riesgo:1= nominal, ..., 5 = catastrofe.
Tipos de metodologías de análisis de riesgo
� Entorno� Procesador� Aplicaciones
divididos en 26 categorías deRiesgo en cada nivel
�estructurada como cuestionarioen 3 niveles
HardwareAmb. Físico
Comunicaciónacceso
Riesgos relacionadosIntegridad, fraudeLógica de control
De acceso
� CRAMM-Reino Unido
� Desarrollado en 1985-1987 por BIS y CCTA(Central Computer& Telecomunication Agency Risk Analisis & Management Method, England)
� Implantado en mas de 750 Org. En europa� Metodología cualitativa y permite hacer análisis (que pasa si?)
Tipos de metodologías de análisis de riesgo
� PRIMA (Prevención de Riesgos Informáticos con Metod ología Abierta)
� metodología española(1990)� enfoque subjetivo� Características
� Cubrir necesidades de los proyectos de un plan de seguridad� Adaptable� Cuestionarios para identificar fallas de controles� Proporciona un sistema de ayuda� Informes finales� Lista de ayuda y cuestionarios son abiertos
Identificación dedebilidades
Análisis del impactoY riesgo
Definición decontramedidas
Ponderación
AmenazasVulnerabilidades
Toma de acción
Tipos de metodologías de análisis de riesgo
valoración decontramedidas
Preparación delPlan de acción
Informe final
PrioridadCosto Dificultadduración
RiesgosPlan de acciónPlan de proyectos
Fases de la metodologíaPRIMA