Evaluacion de la Seguridad
Páginas: 8 (1810 palabras)
Publicado: 21 de abril de 2013
I. Seguridad lógica
La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica:
La seguridad física, se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de Incendios, sabotajes, robos, catástrofes naturales, etc. La seguridad lógica, se refiere a laseguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información. Un método eficaz para proteger sistemas de computación es el software de control de acceso.
El sistema de seguridad debe comprender:
Definición de una política de seguridad
Prácticas de seguridad del personal
Sistemas de seguridad(de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales).
Aplicación de los sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
Se debe evaluar el nivel de riesgo que puede tener la información para poder hacer un adecuado estudio costo/beneficio entre el costo por pérdida de información y el costo de unsistema de seguridad, para lo cual se debe considerar lo siguiente:
Clasificar la instalación en términos de riesgo (alto, mediano, pequeño). Identificar aquellas aplicaciones que tengan un alto riesgo. Cuantificar el impacto en el caso de suspensión del servicio en aquellas aplicaciones con un alto riesgo. Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que serequiera.
Causas de realización de una Auditoría de Seguridad
El equipo auditor debe conocer las razones por las cuales el cliente desea realizar el Ciclo de Seguridad.
Puede haber muchas causas:
Reglas internas del cliente.
Incrementos no previstos de costos.
Obligaciones legales.
Situación de ineficiencia global notoria.
II. Riesgos y controles a auditar
La función de la gestiónde riesgos es identificar estudiar y e1iminar las fuentes de los eventos perjudiciales antes de que empiecen a amenazar los procesos informáticos.
La gestión de riesgos se divide generalmente en:
Estimación De Riesgos:
La estimación de riesgos describe cómo estudiar los riesgos dentro de la planeación general del entorno informático y se divide en los siguientes pasos:
1. Laidentificación de riesgos genera una lista de riesgos capaces de afectar el funcionamiento normal del entorno informático.
2. El análisis de riesgos mide su probabilidad de ocurrencia y su impacto en la organización. La asignación de prioridades a los riesgos.
Identificación De Riesgos
En este paso se identifican los factores que introducen una amenaza en la planificación del entorno informático. Losprincipales factores que se ven afectados son:
Creación de la p1anificación que incluye:
Planificación excesivamente optimista, planificación con tareas innecesarias, y organización de un entorno informático sin tener en cuenta áreas desconocidas y la envergadura del mismo.
La organización y gestión, que incluye: Presupuestos bajos, El ciclo de revisión/decisión de las directivas es máslento de lo esperado.
El entorno de trabajo, que incluye:
Mal funcionamiento de las herramientas de desarrollo, espacios de trabajo inadecuados y la curva de aprendizaje de las nuevas tecnologías es más larga de lo esperado.
Las decisiones de los usuarios finales, que incluye:
Falta de participación de los usuarios finales y la falta de comunicación entre los usuarios y el departamento deinformática.
El personal contratado, que incluye:
Falta de motivación, falta de trabajo en equipo y trabajos de poca calidad. Los procesos, que incluye: La burocracia de control de ca1idad y la falta de entusiasmo.
Análisis De Riesgos
Una vez hayan identificado los riesgos en la planificación, el paso siguiente es analizarlos para determinar su impacto, tomando así las posibles alternativas...
La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica:
La seguridad física, se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de Incendios, sabotajes, robos, catástrofes naturales, etc. La seguridad lógica, se refiere a laseguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información. Un método eficaz para proteger sistemas de computación es el software de control de acceso.
El sistema de seguridad debe comprender:
Definición de una política de seguridad
Prácticas de seguridad del personal
Sistemas de seguridad(de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales).
Aplicación de los sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
Se debe evaluar el nivel de riesgo que puede tener la información para poder hacer un adecuado estudio costo/beneficio entre el costo por pérdida de información y el costo de unsistema de seguridad, para lo cual se debe considerar lo siguiente:
Clasificar la instalación en términos de riesgo (alto, mediano, pequeño). Identificar aquellas aplicaciones que tengan un alto riesgo. Cuantificar el impacto en el caso de suspensión del servicio en aquellas aplicaciones con un alto riesgo. Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que serequiera.
Causas de realización de una Auditoría de Seguridad
El equipo auditor debe conocer las razones por las cuales el cliente desea realizar el Ciclo de Seguridad.
Puede haber muchas causas:
Reglas internas del cliente.
Incrementos no previstos de costos.
Obligaciones legales.
Situación de ineficiencia global notoria.
II. Riesgos y controles a auditar
La función de la gestiónde riesgos es identificar estudiar y e1iminar las fuentes de los eventos perjudiciales antes de que empiecen a amenazar los procesos informáticos.
La gestión de riesgos se divide generalmente en:
Estimación De Riesgos:
La estimación de riesgos describe cómo estudiar los riesgos dentro de la planeación general del entorno informático y se divide en los siguientes pasos:
1. Laidentificación de riesgos genera una lista de riesgos capaces de afectar el funcionamiento normal del entorno informático.
2. El análisis de riesgos mide su probabilidad de ocurrencia y su impacto en la organización. La asignación de prioridades a los riesgos.
Identificación De Riesgos
En este paso se identifican los factores que introducen una amenaza en la planificación del entorno informático. Losprincipales factores que se ven afectados son:
Creación de la p1anificación que incluye:
Planificación excesivamente optimista, planificación con tareas innecesarias, y organización de un entorno informático sin tener en cuenta áreas desconocidas y la envergadura del mismo.
La organización y gestión, que incluye: Presupuestos bajos, El ciclo de revisión/decisión de las directivas es máslento de lo esperado.
El entorno de trabajo, que incluye:
Mal funcionamiento de las herramientas de desarrollo, espacios de trabajo inadecuados y la curva de aprendizaje de las nuevas tecnologías es más larga de lo esperado.
Las decisiones de los usuarios finales, que incluye:
Falta de participación de los usuarios finales y la falta de comunicación entre los usuarios y el departamento deinformática.
El personal contratado, que incluye:
Falta de motivación, falta de trabajo en equipo y trabajos de poca calidad. Los procesos, que incluye: La burocracia de control de ca1idad y la falta de entusiasmo.
Análisis De Riesgos
Una vez hayan identificado los riesgos en la planificación, el paso siguiente es analizarlos para determinar su impacto, tomando así las posibles alternativas...
Leer documento completo
Regístrate para leer el documento completo.