Esquema Seguridad Nacional
Páginas: 22 (5267 palabras)
Publicado: 17 de abril de 2011
Análisis de Riesgo
El análisis de riesgo es un proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización o empresa.
Es la identificación de las amenazas que acechan a los distintos componentes pertenecientes o relacionados con un sistema de información (activos) para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto ogrado de perjuicio que una seguridad insuficiente puede afectar a la organización.
Acorde al punto 5.4 de Magerit (España) es importante crear escenarios de ataque, imaginar amenazas a los activos, pensar cómo un atacante se enfrentaría a nuestros sistemas o activos.
Hay que ponerse en la piel del atacante e imaginar qué haría con sus conocimientos y recursos. Es importante plantear diferentessituaciones dependiendo del perfil técnico del atacante o de sus recursos técnicos y humanos.
Estos escenarios de ataque o dramatizaciones son importantes para evaluar impactos y riesgos.
Consideraciones
Jamás olvide que en las empresas la seguridad comienza por dentro. Capacitando al personal,creando normas basadas en standards, analizando brechas y puntos ciegos en la seguridad lógica y enla seguridad de sistemas de información.
Es fundamental la creación de escenarios de conflicto en forma continua participando la gerencia de la empresa junto con un auditor en seguridad, a partir de estos escenarios pueden lograrse medidas para evitar eventos de seguridad.
Anticiparse a los hechos
Imagínese el peor escenario posible. Piense cómo evitarlo. Existen normas,procedimientos,protocolos de seguridad existentes que pueden ayudar a crear y basar (valga la redundancia) sus procedimientos internos para alejar la posibilidad de riesgo.
Si su empresa opera a través de internet o telecomunicaciones no olvide que es más probable tener una fuga de información o problema interno de seguridad con su personal a que un hacker intente vulnerar sus sistemas, el fraude interno está a laorden del día.
Realice periódicamente perfiles socioeconómicos de su personal, tenga entrevistas con cada uno de sus empleados con una frecuencia trimestral contando con apoyo de un profesional en psicología laboral con experiencia previa y capacitado en PNL (nunca está de más que en estas entrevistas participe un auditor en seguridad, el auditor debe ser capaz de percibir a un “insider”)
Elsiguiente glosario es un compendio de términos técnicos de auditoria en seguridad que le permitirá comprender diversos informes y graficar situaciones eventuales en que su empresa podría verse comprometida.
La seguridad en sistemas de información es un tema en constante crecimiento y difusión. La necesidad de asegurarnos que no seamos espiados, que nuestra información no sea robada ni eliminada,e incluso que nuestra empresa no vea interrumpida su normal operación a causa de no implementar controles adecuados, es un tema que llega para quedarse.
La palabra seguridad, en informática, es tan amplia como pueda imaginarse. Abarca desde temas tan obvios como el cuidado por robos de máquinas y equipamiento, hasta temas mucho menos obvios como el resguardar la base de datos de los mismosempleados de una empresa que deben hacer accesos a ella, pero muy controlado.
Los riesgos que tratan de batallarse a través de la implementación de una seguridad adecuada son incluso un punto clave para la competitividad, porque la información contenida en la organización tiene valores a veces no pensados con la importancia necesaria. Veamos:
Importancia estratégica de la Información: aquellainformación que es clave, la que provee una ventaja sobre los competidores. Ejemplos son: Secretos de negocio (¿qué pasaría si se roba la fórmula secreta de la Coca-Cola?); Lista de precios al consumidor; Campañas de marketing, Costos de los productos y servicios adquiridos de proveedores, o información de contacto de esos proveedores.
Confiabilidad de Información para la toma de decisiones:...
El análisis de riesgo es un proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización o empresa.
Es la identificación de las amenazas que acechan a los distintos componentes pertenecientes o relacionados con un sistema de información (activos) para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto ogrado de perjuicio que una seguridad insuficiente puede afectar a la organización.
Acorde al punto 5.4 de Magerit (España) es importante crear escenarios de ataque, imaginar amenazas a los activos, pensar cómo un atacante se enfrentaría a nuestros sistemas o activos.
Hay que ponerse en la piel del atacante e imaginar qué haría con sus conocimientos y recursos. Es importante plantear diferentessituaciones dependiendo del perfil técnico del atacante o de sus recursos técnicos y humanos.
Estos escenarios de ataque o dramatizaciones son importantes para evaluar impactos y riesgos.
Consideraciones
Jamás olvide que en las empresas la seguridad comienza por dentro. Capacitando al personal,creando normas basadas en standards, analizando brechas y puntos ciegos en la seguridad lógica y enla seguridad de sistemas de información.
Es fundamental la creación de escenarios de conflicto en forma continua participando la gerencia de la empresa junto con un auditor en seguridad, a partir de estos escenarios pueden lograrse medidas para evitar eventos de seguridad.
Anticiparse a los hechos
Imagínese el peor escenario posible. Piense cómo evitarlo. Existen normas,procedimientos,protocolos de seguridad existentes que pueden ayudar a crear y basar (valga la redundancia) sus procedimientos internos para alejar la posibilidad de riesgo.
Si su empresa opera a través de internet o telecomunicaciones no olvide que es más probable tener una fuga de información o problema interno de seguridad con su personal a que un hacker intente vulnerar sus sistemas, el fraude interno está a laorden del día.
Realice periódicamente perfiles socioeconómicos de su personal, tenga entrevistas con cada uno de sus empleados con una frecuencia trimestral contando con apoyo de un profesional en psicología laboral con experiencia previa y capacitado en PNL (nunca está de más que en estas entrevistas participe un auditor en seguridad, el auditor debe ser capaz de percibir a un “insider”)
Elsiguiente glosario es un compendio de términos técnicos de auditoria en seguridad que le permitirá comprender diversos informes y graficar situaciones eventuales en que su empresa podría verse comprometida.
La seguridad en sistemas de información es un tema en constante crecimiento y difusión. La necesidad de asegurarnos que no seamos espiados, que nuestra información no sea robada ni eliminada,e incluso que nuestra empresa no vea interrumpida su normal operación a causa de no implementar controles adecuados, es un tema que llega para quedarse.
La palabra seguridad, en informática, es tan amplia como pueda imaginarse. Abarca desde temas tan obvios como el cuidado por robos de máquinas y equipamiento, hasta temas mucho menos obvios como el resguardar la base de datos de los mismosempleados de una empresa que deben hacer accesos a ella, pero muy controlado.
Los riesgos que tratan de batallarse a través de la implementación de una seguridad adecuada son incluso un punto clave para la competitividad, porque la información contenida en la organización tiene valores a veces no pensados con la importancia necesaria. Veamos:
Importancia estratégica de la Información: aquellainformación que es clave, la que provee una ventaja sobre los competidores. Ejemplos son: Secretos de negocio (¿qué pasaría si se roba la fórmula secreta de la Coca-Cola?); Lista de precios al consumidor; Campañas de marketing, Costos de los productos y servicios adquiridos de proveedores, o información de contacto de esos proveedores.
Confiabilidad de Información para la toma de decisiones:...
Leer documento completo
Regístrate para leer el documento completo.