Antropologia
Páginas: 5 (1103 palabras)
Publicado: 14 de febrero de 2013
La evaluación de costos más ampliamente aceptada consiste en cuantificar los daños que cada posible vulnerabilidad puede causar teniendo en cuenta las posibilidades. Un planteamiento posible para desarrollar esta política es el análisis de lo siguiente:
• ¿Qué recursos se quieren proteger?
• ¿De qué personas necesita proteger los recursos?
• ¿Qué tan reales son las amenazas?
•¿Qué tan importante es el recurso?
• ¿Qué medidas se pueden implantar para proteger sus bienes de una manera económica y oportuna?
Con esas sencillas preguntas (más la evaluación de riesgo) se debería conocer cuáles recursos vale la pena (y justifican su costo) proteger, y entender que algunos son más importantes que otros.
El objetivo que se persigue es lograr que un ataque a los bienessea más costoso que su valor, invirtiendo menos de lo que vale. Para esto se define tres costos fundamentales:
• CP: Valor de los bienes y recursos protegidos.
• CR:Costo de los medios necesarios para romper las medidas de seguridad establecidas.
• CS: Costo de las medidas de seguridad.
Para que la política de seguridad sea lógica y consistente se debe cumplir que:
• CR > CP:o sea que un ataque para obtener los bienes debe ser más costoso que el valor de los mismos. Los beneficios obtenidos de romper las medidas de seguridad no deben compensar el costo de desarrollo del ataque.
• CP > CS: o sea que el costo de los bienes protegidos debe ser mayor que el costo de la protección.
Luego, CR > CP > CS y lo que se busca es:
• "Minimizar el costo de la protecciónmanteniéndolo por debajo del de los bienes protegidos" (2). Si proteger los bienes es más caro de lo que valen (el lápiz dentro de la caja fuerte), entonces resulta más conveniente obtenerlos de nuevo en vez de protegerlo.
• "Maximizar el costo de los ataques manteniéndolo por encima del de los bienes protegidos" (3). Si atacar el bien es más caro de lo que valen, al atacante le conviene másobtenerlo de otra forma menos costosa.
Se debe tratar de valorar los costos en que se puede incurrir en el peor de los casos contrastando con el costo de las medidas de seguridad adoptadas. Se debe poner especial énfasis en esta etapa para no incurrir en el error de no considerar costos, muchas veces, ocultos y no obvios (costos derivados).
Valor Intrínseco
Es el más fácil de calcular (perono fácil) ya que solo consiste en otorgar un valor a la información contestando preguntas como las mencionadas y examinando minuciosamente todos los componentes a proteger.
Costos Derivados de la Perdida
Una vez más deben abarcarse todas las posibilidades, intentando descubrir todos los valores derivados de la pérdida de algún componente del sistema. Muchas veces se trata del valor añadido quegana un atacante y la repercusión de esa ganancia para el entorno, además del costo del elemento perdido. Deben considerarse elementos como:
• Información aparentemente inocua como datos personales, que pueden permitir a alguien suplantar identidades.
• Datos confidenciales de acuerdos y contratos que un atacante podría usar para su beneficio.
• Tiempos necesarios para obtenerciertos bienes. Un atacante podría acceder a ellos para ahorrarse el costo (y tiempo) necesario para su desarrollo.
Punto de Equilibrio
Una vez evaluados los riesgos y los costos en los que se está dispuesto a incurrir y decidido el nivel de seguridad a adoptar, podrá obtenerse un punto de equilibrio entres estas magnitudes:
[pic]
Una política de seguridad informática es una forma decomunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización.
No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los...
• ¿Qué recursos se quieren proteger?
• ¿De qué personas necesita proteger los recursos?
• ¿Qué tan reales son las amenazas?
•¿Qué tan importante es el recurso?
• ¿Qué medidas se pueden implantar para proteger sus bienes de una manera económica y oportuna?
Con esas sencillas preguntas (más la evaluación de riesgo) se debería conocer cuáles recursos vale la pena (y justifican su costo) proteger, y entender que algunos son más importantes que otros.
El objetivo que se persigue es lograr que un ataque a los bienessea más costoso que su valor, invirtiendo menos de lo que vale. Para esto se define tres costos fundamentales:
• CP: Valor de los bienes y recursos protegidos.
• CR:Costo de los medios necesarios para romper las medidas de seguridad establecidas.
• CS: Costo de las medidas de seguridad.
Para que la política de seguridad sea lógica y consistente se debe cumplir que:
• CR > CP:o sea que un ataque para obtener los bienes debe ser más costoso que el valor de los mismos. Los beneficios obtenidos de romper las medidas de seguridad no deben compensar el costo de desarrollo del ataque.
• CP > CS: o sea que el costo de los bienes protegidos debe ser mayor que el costo de la protección.
Luego, CR > CP > CS y lo que se busca es:
• "Minimizar el costo de la protecciónmanteniéndolo por debajo del de los bienes protegidos" (2). Si proteger los bienes es más caro de lo que valen (el lápiz dentro de la caja fuerte), entonces resulta más conveniente obtenerlos de nuevo en vez de protegerlo.
• "Maximizar el costo de los ataques manteniéndolo por encima del de los bienes protegidos" (3). Si atacar el bien es más caro de lo que valen, al atacante le conviene másobtenerlo de otra forma menos costosa.
Se debe tratar de valorar los costos en que se puede incurrir en el peor de los casos contrastando con el costo de las medidas de seguridad adoptadas. Se debe poner especial énfasis en esta etapa para no incurrir en el error de no considerar costos, muchas veces, ocultos y no obvios (costos derivados).
Valor Intrínseco
Es el más fácil de calcular (perono fácil) ya que solo consiste en otorgar un valor a la información contestando preguntas como las mencionadas y examinando minuciosamente todos los componentes a proteger.
Costos Derivados de la Perdida
Una vez más deben abarcarse todas las posibilidades, intentando descubrir todos los valores derivados de la pérdida de algún componente del sistema. Muchas veces se trata del valor añadido quegana un atacante y la repercusión de esa ganancia para el entorno, además del costo del elemento perdido. Deben considerarse elementos como:
• Información aparentemente inocua como datos personales, que pueden permitir a alguien suplantar identidades.
• Datos confidenciales de acuerdos y contratos que un atacante podría usar para su beneficio.
• Tiempos necesarios para obtenerciertos bienes. Un atacante podría acceder a ellos para ahorrarse el costo (y tiempo) necesario para su desarrollo.
Punto de Equilibrio
Una vez evaluados los riesgos y los costos en los que se está dispuesto a incurrir y decidido el nivel de seguridad a adoptar, podrá obtenerse un punto de equilibrio entres estas magnitudes:
[pic]
Una política de seguridad informática es una forma decomunicarse con los usuarios, ya que las mismas establecen un canal formal de actuación del personal, en relación con los recursos y servicios informáticos de la organización.
No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los...
Leer documento completo
Regístrate para leer el documento completo.