Risk Analsisi
Páginas: 37 (9102 palabras)
Publicado: 10 de diciembre de 2014
INFORMATION SECURITY AND RISK MANAGEMENT
INFORMATION SECURITY
La administración de la seguridad implementa políticas, procedimientos, estándares y líneas guía lo que
suministra un balance de los controles de seguridad con las operaciones de negocio, es decir, la
seguridad debe soportar la visión, misión y objetivos de negocio de la organización.
PRINCIPIOS CLAVE DE LA SEGURIDAD DE LAINFORMACION: CONFIDENCIALIDAD, INTEGRIDAD Y
DISPONIBILIDAD (CIA por sus iniciales en Inglés)
CONFIDENCIALIDAD: Este principio indica que solamente los individuos autorizados, procesos
autorizados o sistemas autorizados, podrían tener acceso a la información. A través de los últimos años,
se ha dedicado una gran cantidad de esfuerzo a la privacidad de la información. El robo de identidad es
elacto de asumir la identidad de alguien por medio del conocimiento de información confidencial. La
información debe ser clasificada para poder determinar su nivel de confidencialidad y quien podría
tener acceso a la misma. La identificación, autenticación y autorización, a través de controles de acceso,
son prácticas que soportan y mantienen la confidencialidad.
INTEGRIDAD: la información debeser protegida de cambios intencionales no autorizados o accidentales.
Es decir, la información debe ser siempre exacta y solo modificable por quien esté autorizado para ello.
DISPONIBILIDAD: la información debe estar disponible por los usuarios cuando estos lo requieran. La
denegación de servicios por carencia de controles adecuados y perdida de servicios por un desastre,
afectan ladisponibilidad.
GOBIERNO DE LA GESTION DE LA SEGURIDAD DE LA INFORMACION
Aunque no hay una definición universal para la gobernabilidad en seguridad, esta si debe garantizar que
las actividades de seguridad de la información sean realizadas de manera que los riesgos sean
efectivamente reducidos, las inversiones en seguridad sean bien dirigidas y que la dirección de la
organización tenga la visión delprograma de seguridad. El IT Governance Institute (ITGI), define la
gobernabilidad de TI como “una estructura de relaciones y procesos para dirigir y controlar la empresa
en orden al cumplimiento de los objetivos, agregando valor, haciendo un balance entre el riesgo y el
retorno sobre TI y sus procesos”. El ITGI propone que la gobernabilidad de la seguridad de la
información, podría serconsiderada como parte de la gobernabilidad de TI y que la dirección esté
informada de la seguridad de la información, conduzca la política y estrategia, suministre los recursos a
los esfuerzos de seguridad, asigne las responsabilidades de administración, priorice, soporte los cambios
requeridos y defina el valor cultural relacionado a la evaluación de riesgos, obtenga garantía de
auditoríasinternas y externas e insista en que las inversiones de seguridad sean medibles y reportadas
en un programa de efectividad.
El ITGI sugiere que la administración escriba las políticas de seguridad con el negocio, asegure que los
roles y responsabilidades sean definidos y claramente entendidos, que las amenazas y vulnerabilidades
sean identificadas, que la infraestructura de seguridad seaimplementada, que los marcos de control
sean implementados después de que la política sea aprobada por el gobierno corporativo, aplicar de
manera oportuna la priorización, que las brechas de seguridad sean monitoreadas, que se hagan
revisiones periódicas y que se realicen pruebas, que la educación en seguridad sea vista como critica, y
que la seguridad sea construida como lo indica el ciclo de vida deldesarrollo de los sistemas.
POLITICA DE SEGURIDAD
La política de seguridad, es un documento que debe ser realizado en conjunto entre las directivas del
negocio y el personal encargado de la seguridad. Esto permite una amplia visión y cubrimiento de la
política con respecto a los objetivos del negocio.
Algunas de los lineamientos para la redacción de una política de seguridad:
•
•
•...
INFORMATION SECURITY
La administración de la seguridad implementa políticas, procedimientos, estándares y líneas guía lo que
suministra un balance de los controles de seguridad con las operaciones de negocio, es decir, la
seguridad debe soportar la visión, misión y objetivos de negocio de la organización.
PRINCIPIOS CLAVE DE LA SEGURIDAD DE LAINFORMACION: CONFIDENCIALIDAD, INTEGRIDAD Y
DISPONIBILIDAD (CIA por sus iniciales en Inglés)
CONFIDENCIALIDAD: Este principio indica que solamente los individuos autorizados, procesos
autorizados o sistemas autorizados, podrían tener acceso a la información. A través de los últimos años,
se ha dedicado una gran cantidad de esfuerzo a la privacidad de la información. El robo de identidad es
elacto de asumir la identidad de alguien por medio del conocimiento de información confidencial. La
información debe ser clasificada para poder determinar su nivel de confidencialidad y quien podría
tener acceso a la misma. La identificación, autenticación y autorización, a través de controles de acceso,
son prácticas que soportan y mantienen la confidencialidad.
INTEGRIDAD: la información debeser protegida de cambios intencionales no autorizados o accidentales.
Es decir, la información debe ser siempre exacta y solo modificable por quien esté autorizado para ello.
DISPONIBILIDAD: la información debe estar disponible por los usuarios cuando estos lo requieran. La
denegación de servicios por carencia de controles adecuados y perdida de servicios por un desastre,
afectan ladisponibilidad.
GOBIERNO DE LA GESTION DE LA SEGURIDAD DE LA INFORMACION
Aunque no hay una definición universal para la gobernabilidad en seguridad, esta si debe garantizar que
las actividades de seguridad de la información sean realizadas de manera que los riesgos sean
efectivamente reducidos, las inversiones en seguridad sean bien dirigidas y que la dirección de la
organización tenga la visión delprograma de seguridad. El IT Governance Institute (ITGI), define la
gobernabilidad de TI como “una estructura de relaciones y procesos para dirigir y controlar la empresa
en orden al cumplimiento de los objetivos, agregando valor, haciendo un balance entre el riesgo y el
retorno sobre TI y sus procesos”. El ITGI propone que la gobernabilidad de la seguridad de la
información, podría serconsiderada como parte de la gobernabilidad de TI y que la dirección esté
informada de la seguridad de la información, conduzca la política y estrategia, suministre los recursos a
los esfuerzos de seguridad, asigne las responsabilidades de administración, priorice, soporte los cambios
requeridos y defina el valor cultural relacionado a la evaluación de riesgos, obtenga garantía de
auditoríasinternas y externas e insista en que las inversiones de seguridad sean medibles y reportadas
en un programa de efectividad.
El ITGI sugiere que la administración escriba las políticas de seguridad con el negocio, asegure que los
roles y responsabilidades sean definidos y claramente entendidos, que las amenazas y vulnerabilidades
sean identificadas, que la infraestructura de seguridad seaimplementada, que los marcos de control
sean implementados después de que la política sea aprobada por el gobierno corporativo, aplicar de
manera oportuna la priorización, que las brechas de seguridad sean monitoreadas, que se hagan
revisiones periódicas y que se realicen pruebas, que la educación en seguridad sea vista como critica, y
que la seguridad sea construida como lo indica el ciclo de vida deldesarrollo de los sistemas.
POLITICA DE SEGURIDAD
La política de seguridad, es un documento que debe ser realizado en conjunto entre las directivas del
negocio y el personal encargado de la seguridad. Esto permite una amplia visión y cubrimiento de la
política con respecto a los objetivos del negocio.
Algunas de los lineamientos para la redacción de una política de seguridad:
•
•
•...
Leer documento completo
Regístrate para leer el documento completo.