evaluacion de riesgos en materia de seguridad
Páginas: 7 (1524 palabras)
Publicado: 3 de agosto de 2014
Evaluación de riesgos en materia de seguridad.
¿Seguridad de la información?
La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.
El concepto de seguridad de la información no debeser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.
Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensionesdependiendo de la cultura del mismo.
El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. Este campo ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, planificación de la continuidad del negocio, ciencia forense digital y administraciónde sistemas de gestión de seguridad, entre otros.
¿Evaluación de riesgos?
El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas.
Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla aproducir (reproducir).
Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.
Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar losrecursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se está expuesto.
La evaluación de riesgos y presentación de respuestas debe prepararse de forma personalizada para cada organización; pero se puede presupone algunas preguntas que ayudan en la identificación de lo anteriormente expuesto (1):
"¿Qué puede ir mal?"
"¿Con qué frecuenciapuede ocurrir?"
"¿Cuáles serían sus consecuencias?"
"¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?"
"¿Se está preparado para abrir las puertas del negocio sin sistemas, por un día, una semana, cuánto tiempo?"
"¿Cuál es el costo de una hora sin procesar, un día, una semana...?"
"¿Cuánto, tiempo se puede estar off-line sin que los clientes se vayan a la competencia?""¿Se tiene forma de detectar a un empleado deshonesto en el sistema?"
"¿Se tiene control sobre las operaciones de los distintos sistemas?"
"¿Cuantas personas dentro de la empresa, (sin considerar su honestidad), están en condiciones de inhibir el procesamiento de datos?"
"¿A que se llama información confidencial y/o sensitiva?"
"¿La información confidencial y sensitiva permanece así en lossistemas?"
"¿La seguridad actual cubre los tipos de ataques existentes y está preparada para adecuarse a los avances tecnológicos esperados?"
"¿A quién se le permite usar que recurso?"
"¿Quién es el propietario del recurso? y ¿quién es el usuario con mayores privilegios sobre ese recurso?"
"¿Cuáles serán los privilegios y responsabilidades del Administrador vs. la del usuario?"
"¿Cómo se actuarási la seguridad es violada?"
Una vez obtenida la lista de cada uno de los riesgos se efectuará un resumen del tipo:
Tipo de Riesgo
Factor
Robo de hardware
Alto
Robo de información
Alto
Vandalismo
Medio
Fallas en los equipos
Medio
Virus Informáticos
Medio
Equivocaciones
Medio
Accesos no autorizados
Medio
Fraude
Bajo
Fuego
Muy Bajo
Terremotos
Muy Bajo
Tabla 9.1 - Tipo de...
¿Seguridad de la información?
La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma.
El concepto de seguridad de la información no debeser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pero la información puede encontrarse en diferentes medios o formas, y no solo en medios informáticos.
Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensionesdependiendo de la cultura del mismo.
El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. Este campo ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, planificación de la continuidad del negocio, ciencia forense digital y administraciónde sistemas de gestión de seguridad, entre otros.
¿Evaluación de riesgos?
El análisis de riesgos supone más que el hecho de calcular la posibilidad de que ocurran cosas negativas.
Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla aproducir (reproducir).
Se debe tener en cuenta la probabilidad que sucedan cada uno de los problemas posibles. De esta forma se pueden priorizar los problemas y su coste potencial desarrollando un plan de acción adecuado.
Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con los costos en los que se incurren se obtengan beneficios efectivos. Para esto se deberá identificar losrecursos (hardware, software, información, personal, accesorios, etc.) con que se cuenta y las amenazas a las que se está expuesto.
La evaluación de riesgos y presentación de respuestas debe prepararse de forma personalizada para cada organización; pero se puede presupone algunas preguntas que ayudan en la identificación de lo anteriormente expuesto (1):
"¿Qué puede ir mal?"
"¿Con qué frecuenciapuede ocurrir?"
"¿Cuáles serían sus consecuencias?"
"¿Qué fiabilidad tienen las respuestas a las tres primeras preguntas?"
"¿Se está preparado para abrir las puertas del negocio sin sistemas, por un día, una semana, cuánto tiempo?"
"¿Cuál es el costo de una hora sin procesar, un día, una semana...?"
"¿Cuánto, tiempo se puede estar off-line sin que los clientes se vayan a la competencia?""¿Se tiene forma de detectar a un empleado deshonesto en el sistema?"
"¿Se tiene control sobre las operaciones de los distintos sistemas?"
"¿Cuantas personas dentro de la empresa, (sin considerar su honestidad), están en condiciones de inhibir el procesamiento de datos?"
"¿A que se llama información confidencial y/o sensitiva?"
"¿La información confidencial y sensitiva permanece así en lossistemas?"
"¿La seguridad actual cubre los tipos de ataques existentes y está preparada para adecuarse a los avances tecnológicos esperados?"
"¿A quién se le permite usar que recurso?"
"¿Quién es el propietario del recurso? y ¿quién es el usuario con mayores privilegios sobre ese recurso?"
"¿Cuáles serán los privilegios y responsabilidades del Administrador vs. la del usuario?"
"¿Cómo se actuarási la seguridad es violada?"
Una vez obtenida la lista de cada uno de los riesgos se efectuará un resumen del tipo:
Tipo de Riesgo
Factor
Robo de hardware
Alto
Robo de información
Alto
Vandalismo
Medio
Fallas en los equipos
Medio
Virus Informáticos
Medio
Equivocaciones
Medio
Accesos no autorizados
Medio
Fraude
Bajo
Fuego
Muy Bajo
Terremotos
Muy Bajo
Tabla 9.1 - Tipo de...
Leer documento completo
Regístrate para leer el documento completo.