Ingeniero
Páginas: 15 (3668 palabras)
Publicado: 4 de marzo de 2014
ESQUEMA DE SEGURIDAD
Análisis de riesgos
Sin duda una parte crítica dentro del análisis de riesgos es la determinación o identificación de amenazas, las cuales están basadas en parte en el tipo de operaciones de la dependencia y la tecnología implicada.
A continuación se mencionan algunas de las amenazas que se tienen presentes dentro del análisis de riesgos de la dependencia:Errores humanos. Son los accidentes causados por descuido o por la carencia de conocimiento. Pueden incluir error de usuarios, una desconexión accidental de la energía, un error del operador, o procedimientos inadecuados.
Fallas en el sistema. Estas incluyen fallas en software o hardware, problemas asociados con el sistema que falló y aquellos que dependan de este.
Desastres naturales. Entre losque se encuentran los terremotos, fuego, inundaciones, etc. causando daño e interrupciones físicas extensas de infraestructura, tales como electricidad, transporte, y comunicaciones. Debido al alcance de desastres naturales, la recuperación es por lo regular un proceso lento.
Actos maliciosos. Pueden ser ataques humanos o automatizados de sistemas, el robo de equipo y recursos. Los ataquesinternos los originan los empleados disgustados, y representan una gran amenaza para la dependencia, mientras que los ataques externos están basados en espionajes, actividades maliciosas o hackeo.
El grado de severidad en la pérdida de un recurso, depende de su importancia para la organización y el tiempo perdido o que permaneció fuera de línea. La información puede tener valor de acuerdo a loque representa para la organización. El tiempo perdido puede tener un impacto dramático sobre el costo de la pérdida en el acceso a la información.
Los tipos comunes de pérdida son:
La pérdida de disponibilidad. La cual es identificada por cualquiera que necesite acceder a los recursos y estos no permitan ser accedidos. Para nuestro caso como es una organización orientada al servicio, ladisponibilidad es considerada el atributo más importante. Un ejemplo de esta pérdida es cuando falla la red de comunicación dentro de alguna área de la dependencia.
La pérdida de confidencialidad. Es el acceso no autorizado a algún recurso y que trae como consecuencia la fuga de información a entidades no autorizadas.
La pérdida de integridad, destrucción o corrupción. Es la perdida de integridad eindica que se han realizado cambios no autorizados en la información, ya sea por error humano o de manera intencional. Si es cuestionable la calidad de la información, entonces también lo serán las decisiones basadas en ésta. La corrupción de la información puede ser el más devastador tipo de pérdida en la organización.
Robo.
Para evitar esta pérdida de recursos se deben identificar lasvulnerabilidades que existen tanto en hardware como en software, en políticas y procedimientos y en la gente.
Las fuentes comunes de vulnerabilidades que se están tratando dentro de la Unidad en la actualidad son las siguientes:
Diseño. Generalmente existen porque la seguridad no fue considerada dentro del diseño inicial del elemento implicado.
Implementación incorrecta. Es el caso de noinstalar o administrar el sistema de manera correcta.
Mal uso de los recursos. Contempla aquellos sistemas que son empleados para realizar tareas que no están pensadas dentro de su diseño.
Ingeniería social. Es un proceso que consiste en convencer a la gente para que divulgue información y realicen acciones que normalmente no harían.
Algunos procedimientos que la Unidad de informática estárealizando son los siguientes:
Examinar y evaluar las políticas de seguridad y procesos.
Llevar a cabo pruebas de ingeniería social en cada Unidad Administrativa
Para cada sistema de cómputo de acceso público:
Monitorear el acceso de usuarios a los sistemas.
Aplicar parches de seguridad.
Realizar pruebas de penetración.
Para aplicaciones propietarias de la Unidad
Aplicar...
Análisis de riesgos
Sin duda una parte crítica dentro del análisis de riesgos es la determinación o identificación de amenazas, las cuales están basadas en parte en el tipo de operaciones de la dependencia y la tecnología implicada.
A continuación se mencionan algunas de las amenazas que se tienen presentes dentro del análisis de riesgos de la dependencia:Errores humanos. Son los accidentes causados por descuido o por la carencia de conocimiento. Pueden incluir error de usuarios, una desconexión accidental de la energía, un error del operador, o procedimientos inadecuados.
Fallas en el sistema. Estas incluyen fallas en software o hardware, problemas asociados con el sistema que falló y aquellos que dependan de este.
Desastres naturales. Entre losque se encuentran los terremotos, fuego, inundaciones, etc. causando daño e interrupciones físicas extensas de infraestructura, tales como electricidad, transporte, y comunicaciones. Debido al alcance de desastres naturales, la recuperación es por lo regular un proceso lento.
Actos maliciosos. Pueden ser ataques humanos o automatizados de sistemas, el robo de equipo y recursos. Los ataquesinternos los originan los empleados disgustados, y representan una gran amenaza para la dependencia, mientras que los ataques externos están basados en espionajes, actividades maliciosas o hackeo.
El grado de severidad en la pérdida de un recurso, depende de su importancia para la organización y el tiempo perdido o que permaneció fuera de línea. La información puede tener valor de acuerdo a loque representa para la organización. El tiempo perdido puede tener un impacto dramático sobre el costo de la pérdida en el acceso a la información.
Los tipos comunes de pérdida son:
La pérdida de disponibilidad. La cual es identificada por cualquiera que necesite acceder a los recursos y estos no permitan ser accedidos. Para nuestro caso como es una organización orientada al servicio, ladisponibilidad es considerada el atributo más importante. Un ejemplo de esta pérdida es cuando falla la red de comunicación dentro de alguna área de la dependencia.
La pérdida de confidencialidad. Es el acceso no autorizado a algún recurso y que trae como consecuencia la fuga de información a entidades no autorizadas.
La pérdida de integridad, destrucción o corrupción. Es la perdida de integridad eindica que se han realizado cambios no autorizados en la información, ya sea por error humano o de manera intencional. Si es cuestionable la calidad de la información, entonces también lo serán las decisiones basadas en ésta. La corrupción de la información puede ser el más devastador tipo de pérdida en la organización.
Robo.
Para evitar esta pérdida de recursos se deben identificar lasvulnerabilidades que existen tanto en hardware como en software, en políticas y procedimientos y en la gente.
Las fuentes comunes de vulnerabilidades que se están tratando dentro de la Unidad en la actualidad son las siguientes:
Diseño. Generalmente existen porque la seguridad no fue considerada dentro del diseño inicial del elemento implicado.
Implementación incorrecta. Es el caso de noinstalar o administrar el sistema de manera correcta.
Mal uso de los recursos. Contempla aquellos sistemas que son empleados para realizar tareas que no están pensadas dentro de su diseño.
Ingeniería social. Es un proceso que consiste en convencer a la gente para que divulgue información y realicen acciones que normalmente no harían.
Algunos procedimientos que la Unidad de informática estárealizando son los siguientes:
Examinar y evaluar las políticas de seguridad y procesos.
Llevar a cabo pruebas de ingeniería social en cada Unidad Administrativa
Para cada sistema de cómputo de acceso público:
Monitorear el acceso de usuarios a los sistemas.
Aplicar parches de seguridad.
Realizar pruebas de penetración.
Para aplicaciones propietarias de la Unidad
Aplicar...
Leer documento completo
Regístrate para leer el documento completo.