PESI01
Páginas: 18 (4458 palabras)
Publicado: 7 de mayo de 2014
ESCUELA POLITÉCNICA NACIONAL INGENIERÍA EN SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN
¿Cómo Generar una Cultura de Seguridad de Activos de Información?
SIC816 – AUDITORÍA Y EVALUACIÓN DE SISTEMAS
26/02/2014
INTRODUCCIÓN
En la actualidad existe una amplia variedad de fuentes que pueden dañar de formacrítica los sistemas de información de la organización, cada vez más riesgos e inseguridades ponen en peligro la continuidad del negocio.
Para esto es de vital importancia que se evalúe el riesgo y se implementen medidas o controles que aseguren protección y seguridad para la información sensible de la organización. La gestión eficaz de la seguridad de la información garantiza:
Confidencialidad,solo personas autorizadas accedan a la información.
Integridad, nos aseguramos de que la información y los métodos de procesos son exactos y completos.
Disponibilidad, permite que los usuarios autorizados accedan a la correcta información cuando lo requieran.
La seguridad de la información tiene como fin proteger y asegurar la información y los sistemas de información del acceso, uso, divulgación,interrupción o destrucción y manipulación no autorizada. Aunque a pesar de todo esto no podemos asegurar 100% toda la información pero lo ideal es mitigar el riesgo en lo posible, para lo cual debemos establecer niveles de seguridad.
IMPORTANCIA DE LA SEGURIDAD DE LA INFORMACIÓN
Activos de Información
Los activos de información dan soporte directo a los objetivos más críticos del negocio estolo hace posible con el procesamiento de la información la cual sustenta el proceso del negocio. La información cambia de forma a los largo de diversos procesos y su importancia radica según su participación en los procesos de la organización.
Principios de Aplicación
Los datos, medios y recursos de información de una organización que participan en los procesos de negocio están expuestos ariesgos de pérdida o alteración de las condiciones de confidencialidad, integridad y disponibilidad esperadas según el contexto de uso o conservación asignado. [1]
Confidencialidad.- Debemos asegurarnos de que la información de la organización no será revelada por individuos, programas o procesos que no estén autorizados. La confidencialidad incluye todos los procesos que definen cuales y en qué gradoson confidenciales determinados datos, inclusive como debe ser tratada la información: mecanismos, criterios, personas, procedimientos, etc.
Integridad.- Información exacta, completa y en lo posible protegida de modificaciones no autorizadas o inesperadas. Puede existir en caso en el cual la información de un proceso se dañe y no le sirva a su legítimo usuario, esta información ya no estáprotegida debido a que sufre modificaciones, esto se puede dar por fallas de los sistemas, errores humanos o accidentes deliberados o fortuitos, afectando directamente a la preservación de las condiciones que hacen legítimas y útil la información.
Disponibilidad.- Debe estar disponible de forma oportuna y a tiempo la información, los sistemas y recursos solo a usuarios autorizados. Cuando por algunarazón la información solicitada no está disponible en un horario determinado por situaciones de fuerza mayor, provocando pérdidas por ingresos o pagos, entonces decimos que los procesos que hacen indispensable la información y afectan directamente la continuidad del negocio, deben comprender un objetivo de seguridad de la Información.
Gestión de Riesgo
El riesgo es considerado como la perdidaeventual ocasionada por la explotación de una vulnerabilidad y su probabilidad de ocurrencia. El riesgo a asumir no es un tema técnico. Lo deciden las áreas del negocio. [1]
Para una adecuada Gestión de Riegos de TI es necesario buscar un balance entre los objetivos de seguridad y los objetivos del negocio que se plantearon dentro de la organización.
La evaluación del riesgo debe analizar...
¿Cómo Generar una Cultura de Seguridad de Activos de Información?
SIC816 – AUDITORÍA Y EVALUACIÓN DE SISTEMAS
26/02/2014
INTRODUCCIÓN
En la actualidad existe una amplia variedad de fuentes que pueden dañar de formacrítica los sistemas de información de la organización, cada vez más riesgos e inseguridades ponen en peligro la continuidad del negocio.
Para esto es de vital importancia que se evalúe el riesgo y se implementen medidas o controles que aseguren protección y seguridad para la información sensible de la organización. La gestión eficaz de la seguridad de la información garantiza:
Confidencialidad,solo personas autorizadas accedan a la información.
Integridad, nos aseguramos de que la información y los métodos de procesos son exactos y completos.
Disponibilidad, permite que los usuarios autorizados accedan a la correcta información cuando lo requieran.
La seguridad de la información tiene como fin proteger y asegurar la información y los sistemas de información del acceso, uso, divulgación,interrupción o destrucción y manipulación no autorizada. Aunque a pesar de todo esto no podemos asegurar 100% toda la información pero lo ideal es mitigar el riesgo en lo posible, para lo cual debemos establecer niveles de seguridad.
IMPORTANCIA DE LA SEGURIDAD DE LA INFORMACIÓN
Activos de Información
Los activos de información dan soporte directo a los objetivos más críticos del negocio estolo hace posible con el procesamiento de la información la cual sustenta el proceso del negocio. La información cambia de forma a los largo de diversos procesos y su importancia radica según su participación en los procesos de la organización.
Principios de Aplicación
Los datos, medios y recursos de información de una organización que participan en los procesos de negocio están expuestos ariesgos de pérdida o alteración de las condiciones de confidencialidad, integridad y disponibilidad esperadas según el contexto de uso o conservación asignado. [1]
Confidencialidad.- Debemos asegurarnos de que la información de la organización no será revelada por individuos, programas o procesos que no estén autorizados. La confidencialidad incluye todos los procesos que definen cuales y en qué gradoson confidenciales determinados datos, inclusive como debe ser tratada la información: mecanismos, criterios, personas, procedimientos, etc.
Integridad.- Información exacta, completa y en lo posible protegida de modificaciones no autorizadas o inesperadas. Puede existir en caso en el cual la información de un proceso se dañe y no le sirva a su legítimo usuario, esta información ya no estáprotegida debido a que sufre modificaciones, esto se puede dar por fallas de los sistemas, errores humanos o accidentes deliberados o fortuitos, afectando directamente a la preservación de las condiciones que hacen legítimas y útil la información.
Disponibilidad.- Debe estar disponible de forma oportuna y a tiempo la información, los sistemas y recursos solo a usuarios autorizados. Cuando por algunarazón la información solicitada no está disponible en un horario determinado por situaciones de fuerza mayor, provocando pérdidas por ingresos o pagos, entonces decimos que los procesos que hacen indispensable la información y afectan directamente la continuidad del negocio, deben comprender un objetivo de seguridad de la Información.
Gestión de Riesgo
El riesgo es considerado como la perdidaeventual ocasionada por la explotación de una vulnerabilidad y su probabilidad de ocurrencia. El riesgo a asumir no es un tema técnico. Lo deciden las áreas del negocio. [1]
Para una adecuada Gestión de Riegos de TI es necesario buscar un balance entre los objetivos de seguridad y los objetivos del negocio que se plantearon dentro de la organización.
La evaluación del riesgo debe analizar...
Leer documento completo
Regístrate para leer el documento completo.