Tareas

Solo disponible en BuenasTareas
  • Páginas : 10 (2434 palabras )
  • Descarga(s) : 0
  • Publicado : 25 de febrero de 2011
Leer documento completo
Vista previa del texto
Análisis y control de riesgos de seguridad informática: control adaptativo Un cambio de paradigma hacia la gestión de riesgos orientada al control adaptativo. Juan Manuel García G. Carol A. Martínez R. La seguridad informática puede ser definida, básicamente, como la preservación de la confidencialidad, la integridad y la disponibilidad de los sistemas de información [Tipton, 2006]. Dependiendodel entorno de la organización, se pueden tener diferentes amenazas que comprometan a los objetivos previamente mencionados. Ante un riesgo concreto, la organización tiene tres alternativas: aceptar el riesgo, hacer algo para disminuir la posibilidad de ocurrencia del riesgo o transferir el riesgo, por ejemplo, mediante un contrato de seguro. A las medidas o salvaguardas que se toman para disminuirun riesgo se les denomina controles de seguridad [Tipton, 2006; Witman, 2007]. Los controles de seguridad informática usualmente se clasifican en tres categorías: controles físicos, controles lógicos o técnicos y controles administrativos [Tipton, 2006]. Para que los controles sean efectivos, éstos deben estar integrados en lo que se denomina una arquitectura de seguridad informática [Tudor,2006], la cual debe ser congruente con los objetivos de la organización y las prioridades de las posibles amenazas de acuerdo al impacto que éstas tengan en la organización. Por lo tanto, una fase fundamental en el diseño de la arquitectura de seguridad informática es la etapa de análisis de riesgos [Peltier, 2005; Landoll, 2005]. Sin importar cual sea el proceso que se siga, el análisis de riesgoscomprende los siguientes pasos [Peltier, 2005]: 1. Definir los activos informáticos a analizar. 2. Identificar las amenazas que pueden comprometer la seguridad de los activos. 3. Determinar la probabilidad de ocurrencia de las amenazas. 4. Determinar el impacto de las amenaza, con el objeto de establecer una priorización de las mismas. 5. Recomendar controles que disminuyan la probabilidad de losriesgos. 6. Documentar el proceso. Las metodologías de análisis de riesgo difieren esencialmente en la manera de estimar la probabilidad de ocurrencia de una amenaza y en la forma de determinar el impacto en la organización. Las metodologías más utilizadas son cualitativas, en el sentido de que dan una caracterización de “alta/media/baja” a la posibilidad de contingencia más que una probabilidadespecífica. El estándar ISO/IEC 27001 adopta una metodología de análisis de riesgos cualitativa [Calder, 2007]. El ISO/IEC 27001 es un estándar internacional para los sistemas de gestión de la seguridad informática, que está estrechamente relacionado al estándar de controles recomendados de seguridad informática

ISO/IEC 17799 [Calder, 2003]. El estándar NIST 800-39 del gobierno americano tambiénadopta una metodología cualitativa [NIST, 2002]. La dificultad de adoptar una metodología de análisis de riesgo cuantitativa es la complejidad de determinar el impacto de un evento no deseado [Anderson, 2001] y, principalmente, la falta de datos suficiente para poder determinar de manera exacta las funciones de distribución de probabilidad para las amenazas más comunes [Kotulic, 2003;Ciechanowicz, 1997]. Por otro lado, en las metodologías cualitativas, la estimación de probabilidades dependerá de la experiencia de quienes realizan el análisis. Además de estas limitaciones en el enfoque actual de análisis de riesgos, existen otras de mayor alcance que exploraremos en la siguiente sección. Limitantes del análisis de riesgo En general, a pesar de que se han desarrollado muchas soluciones alos problemas de la seguridad en los sistemas de información, la apreciación general es que la inseguridad es un problema que no ha sido resuelto [Viega, 2005]. La perspectiva parece poco optimista, principalmente debido a que los atacantes han pasado de ser aficionados en busca de notoriedad a criminales en busca de lucro [Schneier, 2005]. Posiblemente una de las principales razones por las...
tracking img