Control Interno
Páginas: 27 (6609 palabras)
Publicado: 19 de noviembre de 2012
ASPECTOS ETICOS Y SOCIALES |
ACTIVIDAD NUMERO CUATRO |
|
Para conocer el estado de seguridad de un sistema, necesitamos modelarlo, identificando y valorando sus activos, e identificando y valorando las amenazas sobre dichos activos. Así pues, podemos estimar el riesgo a que el sistema está sujeto. El riesgo se puede mitigar por medio de las salvaguardas o contramedidas desplegadas paraproteger el sistema |
|
INTRODUCCION
Para conocer el estado de seguridad de un sistema, necesitamos modelarlo, identificando y valorando sus activos, e identificando y valorando las amenazas sobre dichos activos. Así pues, podemos estimar el riesgo a que el sistema está sujeto. El riesgo se puede mitigar por medio de las salvaguardas o contramedidas desplegadas para proteger el sistema. Esinusual que las salvaguardas reduzcan el riesgo a cero; es más frecuente que sigua existiendo un riesgo residual que la organización o bien pueda aceptar, o bien intente reducir más, estableciendo un plan de seguridad orientado a llevar el riesgo a niveles aceptables.
El análisis de riesgos proporciona información para las actividades de tratamiento de los riesgos. Estas actividades se ejercenuna vez y otra vez, incorporando nuevos activos, nuevas amenazas, nuevas vulnerabilidades, y nuevas salvaguardas.
EAR es un conjunto de herramientas el cual nos ayuda a generar las siguientes herramientas:
• Para realizar un análisis general, sobre las diversas dimensiones de seguridad (confidencialidad, integridad, disponibilidad,…)
• O un análisis de la continuidad, centrado en ladisponibilidad del sistema, buscando reducir los tiempos de interrupción del servicio cuando sobrevienen desastres.
En cualquier caso, el análisis puede ser cualitativo o cuantitativo.
EAR/PILAR ha sido parcialmente financiada por el Centro Criptológico Nacional.
METODOLOGÍA
Las herramientas EAR soporta el análisis y la gestión de riesgos de un sistema de información siguiendo lametodología Magerit.
Los activos están expuestos a amenazas que, cuando se materializan, degradan el activo, produciendo un impacto. Si estimamos la frecuencia con que se materializan las amenazas, podemos deducir el riesgo al que está expuesto el sistema. Degradación y frecuencia califican la vulnerabilidad del sistema.
El gestor del sistema de información dispone de salvaguardas, que o bien reducen lafrecuencia de ocurrencia, o bien reducen o limitan el impacto. Dependiendo del grado de implantación de estas salvaguardas, el sistema pasa a una nueva estimación de riesgo que se denomina riesgo residual.
PILAR dispone de una biblioteca estándar de propósito general, y es capaz de realizar calificaciones de seguridad respecto de normas ampliamente conocidas como son:
* ISO/IEC 27002:2005 - Códigode buenas prácticas para la Gestión de la Seguridad de la Información
* ENS - Esquema Nacional de Seguridad
ACTIVIDAD DE APRENDIZAJE : UNIDAD 4 |
DESCRIPCIÓN: 1) LA PRIVACIDAD DE LA INFORMACIÓN ES UN DERECHO DE TODOS. EN ESTA ACTIVIDAD EL APRENDIZ DEBE BUSCAR TRES HERRAMIENTAS QUE AYUDEN A MANTENER ESA PRIVACIDAD. PUEDE SER HARDWARE O SOFTWARE DISEÑADO PARA ELLO. DEBERÁ INDICAR: *NOMBRE DE LA HERRAMIENTA. * SU USO (EN QUE AYUDA). Con base en la Investigación y lecturas, elaborar un documento en Word incluyendo las referencias bibliográficas, guardarlo con el nombre “Semana cuatro (Tu nombre con apellido)”. Incluya en el documento (Portada, introducción, conclusiones y bibliografía). CONTENIDO O CUERPO DEL TRABAJODiagrama función de Pilar:
Análisis cualitativo enPILAR
PILAR puede realizar un análisis cualitativo, usando una serie de niveles discretos para la valoración de los activos. Un análisis cualitativo se recomienda siempre en primer lugar, antes de que se intente un análisis cuantitativo detallado. Un análisis cualitativo permite:
• identificar los activos más significativos
• identificar el valor relativo de los activos
• identificar las...
ACTIVIDAD NUMERO CUATRO |
|
Para conocer el estado de seguridad de un sistema, necesitamos modelarlo, identificando y valorando sus activos, e identificando y valorando las amenazas sobre dichos activos. Así pues, podemos estimar el riesgo a que el sistema está sujeto. El riesgo se puede mitigar por medio de las salvaguardas o contramedidas desplegadas paraproteger el sistema |
|
INTRODUCCION
Para conocer el estado de seguridad de un sistema, necesitamos modelarlo, identificando y valorando sus activos, e identificando y valorando las amenazas sobre dichos activos. Así pues, podemos estimar el riesgo a que el sistema está sujeto. El riesgo se puede mitigar por medio de las salvaguardas o contramedidas desplegadas para proteger el sistema. Esinusual que las salvaguardas reduzcan el riesgo a cero; es más frecuente que sigua existiendo un riesgo residual que la organización o bien pueda aceptar, o bien intente reducir más, estableciendo un plan de seguridad orientado a llevar el riesgo a niveles aceptables.
El análisis de riesgos proporciona información para las actividades de tratamiento de los riesgos. Estas actividades se ejercenuna vez y otra vez, incorporando nuevos activos, nuevas amenazas, nuevas vulnerabilidades, y nuevas salvaguardas.
EAR es un conjunto de herramientas el cual nos ayuda a generar las siguientes herramientas:
• Para realizar un análisis general, sobre las diversas dimensiones de seguridad (confidencialidad, integridad, disponibilidad,…)
• O un análisis de la continuidad, centrado en ladisponibilidad del sistema, buscando reducir los tiempos de interrupción del servicio cuando sobrevienen desastres.
En cualquier caso, el análisis puede ser cualitativo o cuantitativo.
EAR/PILAR ha sido parcialmente financiada por el Centro Criptológico Nacional.
METODOLOGÍA
Las herramientas EAR soporta el análisis y la gestión de riesgos de un sistema de información siguiendo lametodología Magerit.
Los activos están expuestos a amenazas que, cuando se materializan, degradan el activo, produciendo un impacto. Si estimamos la frecuencia con que se materializan las amenazas, podemos deducir el riesgo al que está expuesto el sistema. Degradación y frecuencia califican la vulnerabilidad del sistema.
El gestor del sistema de información dispone de salvaguardas, que o bien reducen lafrecuencia de ocurrencia, o bien reducen o limitan el impacto. Dependiendo del grado de implantación de estas salvaguardas, el sistema pasa a una nueva estimación de riesgo que se denomina riesgo residual.
PILAR dispone de una biblioteca estándar de propósito general, y es capaz de realizar calificaciones de seguridad respecto de normas ampliamente conocidas como son:
* ISO/IEC 27002:2005 - Códigode buenas prácticas para la Gestión de la Seguridad de la Información
* ENS - Esquema Nacional de Seguridad
ACTIVIDAD DE APRENDIZAJE : UNIDAD 4 |
DESCRIPCIÓN: 1) LA PRIVACIDAD DE LA INFORMACIÓN ES UN DERECHO DE TODOS. EN ESTA ACTIVIDAD EL APRENDIZ DEBE BUSCAR TRES HERRAMIENTAS QUE AYUDEN A MANTENER ESA PRIVACIDAD. PUEDE SER HARDWARE O SOFTWARE DISEÑADO PARA ELLO. DEBERÁ INDICAR: *NOMBRE DE LA HERRAMIENTA. * SU USO (EN QUE AYUDA). Con base en la Investigación y lecturas, elaborar un documento en Word incluyendo las referencias bibliográficas, guardarlo con el nombre “Semana cuatro (Tu nombre con apellido)”. Incluya en el documento (Portada, introducción, conclusiones y bibliografía). CONTENIDO O CUERPO DEL TRABAJODiagrama función de Pilar:
Análisis cualitativo enPILAR
PILAR puede realizar un análisis cualitativo, usando una serie de niveles discretos para la valoración de los activos. Un análisis cualitativo se recomienda siempre en primer lugar, antes de que se intente un análisis cuantitativo detallado. Un análisis cualitativo permite:
• identificar los activos más significativos
• identificar el valor relativo de los activos
• identificar las...
Leer documento completo
Regístrate para leer el documento completo.