Gestion del riesgo informatico
Páginas: 6 (1378 palabras)
Publicado: 12 de julio de 2014
1. Gestión del Riesgo Informático
Un proceso de gestión de riesgos comprende una etapa de evaluación previa de los riesgos del sistema informático, que se debe realizar con rigor y objetividad para que cumpla su función con garantías. Para ello, el quipo responsable de la evaluación debe contar con un nivel adecuado de formación y experiencia previa, así como disponer de una serie de recursosy medios para poder realizar su trabajo, contando en la medida de lo posible con el apoyo y el compromiso de la alta Dirección.
En el proceso propiamente dicho de gestión de riesgos se trata de definir un plan de ciertas salvaguardas o contramedidas en el sistema informático, que permitan disminuir la probabilidad de que se materialice una amenaza, o bien reducir la vulnerabilidad del sistema oel posible impacto en la organización, así como permitir la recuperación del sistema o la transferencia del problema a un tercero (mediante la contratación de un seguro, por ejemplo).
A continuación se presentan las definiciones que es necesario manejar para el estudio y el análisis de la gestión informáticos en una organización:
1.1. Recursos del Sistema
Los recursosson los activos a proteger del sistema informático de la organización. Relación de principales recursos:
Recursos hardware: servidores, impresoras, escáner etc.
Recursos software: sistemas operativos, aplicaciones etc.
Elementos de comunicaciones: dispositivos de conectividad, cableado, líneas de comunicación etc.
Información que se almacena, procesa y distribuye a través del sistema.
Localesy oficinas donde se ubican los recursos físicos a los que acceden los usuarios finales.
Personas que utilizan y se benefician del funcionamiento del sistema.
Imagen y reputación de la organización.
1.2. Amenazas
Se considera amenaza cualquier evento accidental o intencionado que ocasione algún daño en el sistema operativo, provocando pérdidas a la organización.
Clasificación de lasamenazas:
Amenazas naturales: inundación, incendio, tormenta.
Amenazas agentes externos: virus informático, sabotajes.
Amenazas de agentes internos: empleados descuidados, errores en utilización de herramientas.
Clasificación alternativa:
Accidentes: averías de hardware, fallos software etc.
Errores: errores de utilización, de explotación etc.
Actuaciones malintencionadas: robos, fraudes,sabotajes.
Niveles de frecuencia de las amenazas: Muy bajas, baja, media, alta, muy alta.
1.3. Vulnerabilidades
Una vulnerabilidad es cualquier debilidad en el sistema informático que pueda permitir a las amenazas causarles daños y producir perdidas en la organización.
Son fallos en los sistemas físicos y lógicos, aunque también pueden ser por malas instalaciones, configuraciones o mantenimientos.También pueden ser por aspectos organizativos como procedimientos mal hechos o sin políticas de seguridad, por el factor humano por la falta de formación sobre los equipos las herramientas. También por faltas de medidas de seguridad, escasa protección contra incendios malas ubicaciones de los locales etc…
Niveles de vulnerabilidad en un equipo o recurso: baja, media y alta.
1.4. Riesgos
Elriesgo es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informático.
El nivel de riesgo depende del análisis previo de vulnerabilidades que el sistema pueda tener.
En el ámbito de la Seguridad Informática, el método más usado es el Análisis de Riesgo.
La valoración del riesgo basada en la fórmula matemática
Riesgo = Probabilidad de Amenaza xMagnitud de Daño
El reto en la aplicación del método es precisar o estimar las condiciones (valores) de las dos variables, porque no basen en parámetros claramente medibles. Sin embargo, el análisis de riesgo nos permite ubicar el riesgo y conocer los factores que influyen, negativa- o positivamente, en el riesgo.
En el proceso de analizar un riesgo también es importante de reconocer que cada...
Un proceso de gestión de riesgos comprende una etapa de evaluación previa de los riesgos del sistema informático, que se debe realizar con rigor y objetividad para que cumpla su función con garantías. Para ello, el quipo responsable de la evaluación debe contar con un nivel adecuado de formación y experiencia previa, así como disponer de una serie de recursosy medios para poder realizar su trabajo, contando en la medida de lo posible con el apoyo y el compromiso de la alta Dirección.
En el proceso propiamente dicho de gestión de riesgos se trata de definir un plan de ciertas salvaguardas o contramedidas en el sistema informático, que permitan disminuir la probabilidad de que se materialice una amenaza, o bien reducir la vulnerabilidad del sistema oel posible impacto en la organización, así como permitir la recuperación del sistema o la transferencia del problema a un tercero (mediante la contratación de un seguro, por ejemplo).
A continuación se presentan las definiciones que es necesario manejar para el estudio y el análisis de la gestión informáticos en una organización:
1.1. Recursos del Sistema
Los recursosson los activos a proteger del sistema informático de la organización. Relación de principales recursos:
Recursos hardware: servidores, impresoras, escáner etc.
Recursos software: sistemas operativos, aplicaciones etc.
Elementos de comunicaciones: dispositivos de conectividad, cableado, líneas de comunicación etc.
Información que se almacena, procesa y distribuye a través del sistema.
Localesy oficinas donde se ubican los recursos físicos a los que acceden los usuarios finales.
Personas que utilizan y se benefician del funcionamiento del sistema.
Imagen y reputación de la organización.
1.2. Amenazas
Se considera amenaza cualquier evento accidental o intencionado que ocasione algún daño en el sistema operativo, provocando pérdidas a la organización.
Clasificación de lasamenazas:
Amenazas naturales: inundación, incendio, tormenta.
Amenazas agentes externos: virus informático, sabotajes.
Amenazas de agentes internos: empleados descuidados, errores en utilización de herramientas.
Clasificación alternativa:
Accidentes: averías de hardware, fallos software etc.
Errores: errores de utilización, de explotación etc.
Actuaciones malintencionadas: robos, fraudes,sabotajes.
Niveles de frecuencia de las amenazas: Muy bajas, baja, media, alta, muy alta.
1.3. Vulnerabilidades
Una vulnerabilidad es cualquier debilidad en el sistema informático que pueda permitir a las amenazas causarles daños y producir perdidas en la organización.
Son fallos en los sistemas físicos y lógicos, aunque también pueden ser por malas instalaciones, configuraciones o mantenimientos.También pueden ser por aspectos organizativos como procedimientos mal hechos o sin políticas de seguridad, por el factor humano por la falta de formación sobre los equipos las herramientas. También por faltas de medidas de seguridad, escasa protección contra incendios malas ubicaciones de los locales etc…
Niveles de vulnerabilidad en un equipo o recurso: baja, media y alta.
1.4. Riesgos
Elriesgo es la probabilidad de que una amenaza se materialice sobre una vulnerabilidad del sistema informático.
El nivel de riesgo depende del análisis previo de vulnerabilidades que el sistema pueda tener.
En el ámbito de la Seguridad Informática, el método más usado es el Análisis de Riesgo.
La valoración del riesgo basada en la fórmula matemática
Riesgo = Probabilidad de Amenaza xMagnitud de Daño
El reto en la aplicación del método es precisar o estimar las condiciones (valores) de las dos variables, porque no basen en parámetros claramente medibles. Sin embargo, el análisis de riesgo nos permite ubicar el riesgo y conocer los factores que influyen, negativa- o positivamente, en el riesgo.
En el proceso de analizar un riesgo también es importante de reconocer que cada...
Leer documento completo
Regístrate para leer el documento completo.