GESTION DE LA SEGURIDAD INFORMATICA ACTIVIDAD 4 parte 1
Páginas: 11 (2727 palabras)
Publicado: 25 de noviembre de 2015
GESTION DE LA SEGURIDAD INFORMATICA
ACTIVIDAD DE APRENDIZAJE 4: IDENTIFICAR LOS RIESGOS DE LOS ACTIVOS, DETERMINAR LA PROBABILIDAD DE OCURRENCIA, LOS CONTROLES DEL RIESGO Y EL IMPACTO QUE AMENAZAS PUEDEN CAUSAR AL NEGOCIO?
¿Cuáles son los elementos y planes necesarios para la evaluación de riesgos presentes en los activos de información de la empresa?
Análisis de riesgo. El objetivo del análisisde riesgo es identificar los riesgos basados en la identificación de los activos, de sus amenazas y vulnerabilidades (Alexander, 2007, p. 53).
a) Definición del alcance del modelo: el primer paso que se siguió de acuerdo a la metodología propuesta fue definir el alcance de esta evaluación de riesgo. El alcance de esta investigación son los activos que están en custodia de la Dirección deServicios Telemáticos (DST), de la Universidad Simón Bolívar, Caracas, Venezuela.
La DST es la encargada de los servicios de comunicación de voz y datos, del apoyo técnico en informática no especializada y de la administración de los servicios de misión esencial de la Universidad. Esta unidad para el logro de sus objetivos cuenta con cuatro departamentos, que se encargan de brindar el apoyo y soportenecesarios: Departamento de Atención al Usuario, Departamento de Tecnología Informática, Departamento de Servicios de Red y Departamento de Servicios Telefónicos.
b) Identificación de activos: una vez definido el alcance se procedió a identificar los activos. Se identificaron 8 activos de información vitales (ver Tabla 1). Entre los activos de información, según la clasificación de la ISO 17799:2005,se encuentran:
● Activos de información (datos, de manuales de usuario, entre otros)
● Documentos en papel (contratos)
● Activos de software (aplicación, software de sistemas, entre otros)
● Activos físicos (computadoras, servidores, medios magnéticos, enrutadores, entre otros)
● Personal (estudiantes, clientes, empleados, entre otros)
● Imagen de la compañía y reputación
● Servicios(comunicaciones, entre otros)
c) Tasación de activos: una vez que se estableció el alcance y se identificaron los activos pertenecientes a una entidad en particular, se procedió a la tasación de dichos activos (esto con la finalidad de poder identificar posteriormente la protección apropiada a los activos, ya que es necesario tasar su valor en términos de importancia a la gestión tanto académica comoadministrativa de la Universidad Simón Bolívar, o dadas ciertas oportunidades determinar su valor potencial).
La tasación de activos es un factor muy importante en la evaluación del riesgo. La tasación es la asignación apropiada en términos de la importancia que éste tenga para la empresa. Para ello se deberá aplicar una escala de valor a los activos y de esa manera poder relacionarlos apropiada (Alberts yDorofee, 2003).
En este caso (activos en custodia de la DST), se tasó su impacto con relación a su confidencialidad, integridad y disponibilidad. Se estableció utilizar la escala cualitativa de: Alto, Mediano y Bajo.
d) Identificación de amenazas: una vez realizada la tasación, se efectuó la identificación de amenazas.
Una amenaza es la existencia de algún mecanismo, que activado, permiteexplotar una vulnerabilidad. Una amenaza para poder causar daño a un activo debe estar asociada a una vulnerabilidad en el sistema, aplicación o servicio. Un incidente es cuando coinciden una vulnerabilidad y una amenaza afectando el funcionamiento de la organización (Hiles, 2004; Barnes, 2001), es decir, es la concreción de una amenaza.
Se realizaron reuniones con las personas encargadas de estosactivos, con la finalidad de explorar las principales amenazas por cada activo de información.
e) Probabilidad de ocurrencia de las amenazas: el siguiente paso fue establecer la posibilidad de ocurrencia de amenazas y el impacto económico que pudiese ocasionar en la organización. La probabilidad de ocurrencia de una amenaza es el número de probables incidentes que pudiese sufrir un activo expuesto a...
ACTIVIDAD DE APRENDIZAJE 4: IDENTIFICAR LOS RIESGOS DE LOS ACTIVOS, DETERMINAR LA PROBABILIDAD DE OCURRENCIA, LOS CONTROLES DEL RIESGO Y EL IMPACTO QUE AMENAZAS PUEDEN CAUSAR AL NEGOCIO?
¿Cuáles son los elementos y planes necesarios para la evaluación de riesgos presentes en los activos de información de la empresa?
Análisis de riesgo. El objetivo del análisisde riesgo es identificar los riesgos basados en la identificación de los activos, de sus amenazas y vulnerabilidades (Alexander, 2007, p. 53).
a) Definición del alcance del modelo: el primer paso que se siguió de acuerdo a la metodología propuesta fue definir el alcance de esta evaluación de riesgo. El alcance de esta investigación son los activos que están en custodia de la Dirección deServicios Telemáticos (DST), de la Universidad Simón Bolívar, Caracas, Venezuela.
La DST es la encargada de los servicios de comunicación de voz y datos, del apoyo técnico en informática no especializada y de la administración de los servicios de misión esencial de la Universidad. Esta unidad para el logro de sus objetivos cuenta con cuatro departamentos, que se encargan de brindar el apoyo y soportenecesarios: Departamento de Atención al Usuario, Departamento de Tecnología Informática, Departamento de Servicios de Red y Departamento de Servicios Telefónicos.
b) Identificación de activos: una vez definido el alcance se procedió a identificar los activos. Se identificaron 8 activos de información vitales (ver Tabla 1). Entre los activos de información, según la clasificación de la ISO 17799:2005,se encuentran:
● Activos de información (datos, de manuales de usuario, entre otros)
● Documentos en papel (contratos)
● Activos de software (aplicación, software de sistemas, entre otros)
● Activos físicos (computadoras, servidores, medios magnéticos, enrutadores, entre otros)
● Personal (estudiantes, clientes, empleados, entre otros)
● Imagen de la compañía y reputación
● Servicios(comunicaciones, entre otros)
c) Tasación de activos: una vez que se estableció el alcance y se identificaron los activos pertenecientes a una entidad en particular, se procedió a la tasación de dichos activos (esto con la finalidad de poder identificar posteriormente la protección apropiada a los activos, ya que es necesario tasar su valor en términos de importancia a la gestión tanto académica comoadministrativa de la Universidad Simón Bolívar, o dadas ciertas oportunidades determinar su valor potencial).
La tasación de activos es un factor muy importante en la evaluación del riesgo. La tasación es la asignación apropiada en términos de la importancia que éste tenga para la empresa. Para ello se deberá aplicar una escala de valor a los activos y de esa manera poder relacionarlos apropiada (Alberts yDorofee, 2003).
En este caso (activos en custodia de la DST), se tasó su impacto con relación a su confidencialidad, integridad y disponibilidad. Se estableció utilizar la escala cualitativa de: Alto, Mediano y Bajo.
d) Identificación de amenazas: una vez realizada la tasación, se efectuó la identificación de amenazas.
Una amenaza es la existencia de algún mecanismo, que activado, permiteexplotar una vulnerabilidad. Una amenaza para poder causar daño a un activo debe estar asociada a una vulnerabilidad en el sistema, aplicación o servicio. Un incidente es cuando coinciden una vulnerabilidad y una amenaza afectando el funcionamiento de la organización (Hiles, 2004; Barnes, 2001), es decir, es la concreción de una amenaza.
Se realizaron reuniones con las personas encargadas de estosactivos, con la finalidad de explorar las principales amenazas por cada activo de información.
e) Probabilidad de ocurrencia de las amenazas: el siguiente paso fue establecer la posibilidad de ocurrencia de amenazas y el impacto económico que pudiese ocasionar en la organización. La probabilidad de ocurrencia de una amenaza es el número de probables incidentes que pudiese sufrir un activo expuesto a...
Leer documento completo
Regístrate para leer el documento completo.