Seguridad de ejecutivos,empresarios 3
Páginas: 5 (1138 palabras)
Publicado: 27 de diciembre de 2010
Siguiendo con esta selección de temas sobre seguridad de empresarios, ejecutivos, vamos a tratar un tema que nos parece como Instructores de Seguridad, importante para Ud.: La Auditoria de Seguridad.
¿Desea saber cual es la situación de la seguridad en su empresa, organización?
Comencemos entonces dando el primer paso.
El Diagnostico de Seguridad
El Diagnóstico de Seguridad persiguela identificación del estado de la Seguridad de una Organización, para ello existen básicamente dos aproximaciones posibles.
La primera, implica la realización de un Análisis de Riesgos de los Sistemas de Información, mientras que la segunda se lleva a cabo mediante la determinación del estado de la seguridad de un Entidad frente a un estándar.
El análisis de riesgos se basa en lautilización de metodologías cualitativas y/o cuantitativas en las que se determinan los activos, su valoración, sus vulnerabilidades y las amenazas a las que se encuentran expuestos para determinar su riesgo.
La segunda aproximación se basa en la identificación y consecución de niveles de madurez preestablecidos en los ámbitos de la Seguridad y las Tecnologías de Información como pueden ser CObIT o laISO 17799.
El Análisis de Riesgos (A.R.)
El Análisis de Riesgos del negocio en lo relativo a los Sistemas de Información es la piedra angular sobre la que se apoyan las acciones para la selección de controles a aplicar e incluso la base para elaborar Planes Directores o Parciales de Seguridad o un Plan de Continuidad del Negocio.
El proceso de Análisis de Riesgos, a grandes rasgos, se basaen:
• Creación de un inventario de activos.
• Simplificación de activos en Dominios.
• Detección de vulnerabilidades y amenazas asociadas. Se utilizan complementariamente los servicios de Hacking Ético si así de solicita.
• Evaluación de probabilidades e impactos.
• Análisis de controles ISO implantados.
• Obtención del riesgo.
Se analiza en qué grado y medida actúan cada uno de loscontroles que el negocio tenga implantado para proteger sus sistemas de información de acuerdo con la Norma ISO 27002 (también denominada ISO 17799:2005), que es el Código de Buenas Prácticas en materia de seguridad. Esta norma nos permite conocer el estado actual de la seguridad de la compañía desde todas las perspectivas (política de seguridad, gestión, seguridad física, etc.)
Los resultados delAnálisis de Riesgos nos proporcionan tanto una valoración económica como los rangos de riesgos de otros valores más intangibles. En definitiva, nos dice de forma clara y concluyente cuáles son los riesgos a los que estamos expuestos en la situación actual de acuerdo con una norma universal aceptada.
La Gestión de los Riesgos
Una vez obtenida la fotografía exacta de estos riesgos se recomiendala aplicación de las medidas de salvaguarda con el objetivo de reducirlos al nivel deseado. Este proceso se denomina Gestión de Riesgos.
En general, las medidas relativas a la gestión son más eficaces, en términos de rentabilidad, que las medidas puramente tecnológicas (como antivirus, firewalls, IDS's, etc.), si bien se hace necesario trabajar en ambos frentes de forma coordinada.
Estetrabajo requiere una participación estrecha de los mandos intermedios y el apoyo de la Dirección General. De no ser así, es mejor no iniciar un Análisis y Gestión de Riesgos, pues probablemente estará abocado al fracaso. Si la decisión es a favor de realizarlo, recomendamos empezar por un sector de la empresa y no por la empresa en su totalidad.
Beneficios
• Conocimiento preciso del nivel de riesgoal que está expuesta la información de la compañía para poder tomar decisiones ajustadas y reducir el riesgo con un coste razonable.
• Reducción de aquellos riesgos que, en caso de materializarse las amenazas que les originan, pueden representar pérdidas ingentes de capital, bien por facturación fallida, por reposición de los daños causados, por pérdida de oportunidades de negocio, por...
¿Desea saber cual es la situación de la seguridad en su empresa, organización?
Comencemos entonces dando el primer paso.
El Diagnostico de Seguridad
El Diagnóstico de Seguridad persiguela identificación del estado de la Seguridad de una Organización, para ello existen básicamente dos aproximaciones posibles.
La primera, implica la realización de un Análisis de Riesgos de los Sistemas de Información, mientras que la segunda se lleva a cabo mediante la determinación del estado de la seguridad de un Entidad frente a un estándar.
El análisis de riesgos se basa en lautilización de metodologías cualitativas y/o cuantitativas en las que se determinan los activos, su valoración, sus vulnerabilidades y las amenazas a las que se encuentran expuestos para determinar su riesgo.
La segunda aproximación se basa en la identificación y consecución de niveles de madurez preestablecidos en los ámbitos de la Seguridad y las Tecnologías de Información como pueden ser CObIT o laISO 17799.
El Análisis de Riesgos (A.R.)
El Análisis de Riesgos del negocio en lo relativo a los Sistemas de Información es la piedra angular sobre la que se apoyan las acciones para la selección de controles a aplicar e incluso la base para elaborar Planes Directores o Parciales de Seguridad o un Plan de Continuidad del Negocio.
El proceso de Análisis de Riesgos, a grandes rasgos, se basaen:
• Creación de un inventario de activos.
• Simplificación de activos en Dominios.
• Detección de vulnerabilidades y amenazas asociadas. Se utilizan complementariamente los servicios de Hacking Ético si así de solicita.
• Evaluación de probabilidades e impactos.
• Análisis de controles ISO implantados.
• Obtención del riesgo.
Se analiza en qué grado y medida actúan cada uno de loscontroles que el negocio tenga implantado para proteger sus sistemas de información de acuerdo con la Norma ISO 27002 (también denominada ISO 17799:2005), que es el Código de Buenas Prácticas en materia de seguridad. Esta norma nos permite conocer el estado actual de la seguridad de la compañía desde todas las perspectivas (política de seguridad, gestión, seguridad física, etc.)
Los resultados delAnálisis de Riesgos nos proporcionan tanto una valoración económica como los rangos de riesgos de otros valores más intangibles. En definitiva, nos dice de forma clara y concluyente cuáles son los riesgos a los que estamos expuestos en la situación actual de acuerdo con una norma universal aceptada.
La Gestión de los Riesgos
Una vez obtenida la fotografía exacta de estos riesgos se recomiendala aplicación de las medidas de salvaguarda con el objetivo de reducirlos al nivel deseado. Este proceso se denomina Gestión de Riesgos.
En general, las medidas relativas a la gestión son más eficaces, en términos de rentabilidad, que las medidas puramente tecnológicas (como antivirus, firewalls, IDS's, etc.), si bien se hace necesario trabajar en ambos frentes de forma coordinada.
Estetrabajo requiere una participación estrecha de los mandos intermedios y el apoyo de la Dirección General. De no ser así, es mejor no iniciar un Análisis y Gestión de Riesgos, pues probablemente estará abocado al fracaso. Si la decisión es a favor de realizarlo, recomendamos empezar por un sector de la empresa y no por la empresa en su totalidad.
Beneficios
• Conocimiento preciso del nivel de riesgoal que está expuesta la información de la compañía para poder tomar decisiones ajustadas y reducir el riesgo con un coste razonable.
• Reducción de aquellos riesgos que, en caso de materializarse las amenazas que les originan, pueden representar pérdidas ingentes de capital, bien por facturación fallida, por reposición de los daños causados, por pérdida de oportunidades de negocio, por...
Leer documento completo
Regístrate para leer el documento completo.