Seguridad Informatica
Páginas: 28 (6856 palabras)
Publicado: 12 de diciembre de 2012
Política global de seguridad: se debe de establecer:
* el estatus de la información para la empresa o la organización,
* debe de contener un objetivo general, la importancia de la tecnología de la información para la empresa,
* el periodo de tiempo de validez de la política,
* los recursos con que se cuenta,
* objetivos especificos de la empresa.
* debe deestablecerse la calidad de la información que se maneja según su objetivo,
* la calidad que debe tener la información quiere decir que se establezca cuando o para quien la información debe ser confidencial, cuando debe verificarse su integridad y cuando debe de verificarse su autenticidad tanto de la información como de los usuarios.
Análisis de riesgos: consiste en enumerar todo tipo de riesgos alos cuales esta expuesta la información y cuales son las consecuencias, los posibles atacantes entre persona empresas y dependencias de inteligencia, las posibles amenazas etc., enumerar todo tipo de posible perdida desde perdidas directas como dinero, clientes, tiempo etc., así como indirectas: créditos, perdida de imagen, implicación en un litigio, perdida de imagen, perdida de confianzaetcétera.
El riesgo se puede calcular por la formula riesgo = probabilidad perdida, por ejemplo el riesgo de perder un contrato por robo de información confidencial es igual a la probabilidad de que ocurra el robo multiplicado por la perdida total en pesos de no hacer el contrato. El riesgo de fraude en transacciones financieras es igual a la probabilidad de que ocurra el fraude por la perdida en pesosde que llegara ocurrir ese fraude. Si la probabilidad es muy pequeña el riesgo es menor, pero si la probabilidad es casi uno, el riesgo puede ser casi igual a la perdida total. Si por otro lado la pérdida es menor aunque la probabilidad de que ocurra el evento sea muy grande tenemos un riesgo menor. Por ejemplo la pérdida de una transacción de 300 pesos con una probabilidad muy grande de queocurra al usar criptografía débil, el riesgo llega a ser menor.
En el análisis de riesgo debe también incluirse los posibles ataques que puedan existir y sus posibles efectos.
Medidas de seguridad: esta parte la podemos plantear como la terminación de la toda la estructura de seguridad de la información. Una vez planteada una política de seguridad, decir cuanto vale la información, un análisisde riesgo, decir que tanto pierdo si le ocurre algo a mi información o que tanto se gana si se protege, debemos de establecer las medidas para que cumpliendo con la política de seguridad, las perdidas sean las menores posibles y que esto se transforme en ganancias ya sean materiales o de imagen.
Tipos | Protección Física | Medidas Técnicas | Medidas de Organización |
Preventivas | PF |PT | PO |
Detectivas | DF | DT | DO |
Correctiva | CF | CT | CO |
Las posibles medidas que se pueden establecer se pueden dividir según la siguiente tabla:
PF: guardias a la entrada del edificio, control en el acceso de entrada, protección al hardware, respaldo de datos, …
DF: monitor de vigilancia, detector de metales, detector de movimiento, …
CF: respaldo de fuente de poder, …
PT:firewalls, criptografía, bitácora, …
DT: control de acceso lógico, sesión de autenticación, …
CT: programa antivirus, …
PO: cursos de actualización, organización de las claves, …
DO: monitoreo de auditoria, …
CO: respaldos automáticos, plan de incidentes (sanciones), …
En resumen debemos de mencionar que no existe un sistema computarizado que garantice al 100% la seguridad de lainformación debido a la inmensa mayoría de formas diferentes con que se puede romper la seguridad de un sistema [2]. Sin embargo una buena planeación de la estrategia para dar seguridad a la información puede resultar desde la salvación de una empresa hasta la obtención de grandes ganancias directas en pesos, o como ganancias indirectas mejorando la imagen y la seguridad de la empresa. Uno de los...
* el estatus de la información para la empresa o la organización,
* debe de contener un objetivo general, la importancia de la tecnología de la información para la empresa,
* el periodo de tiempo de validez de la política,
* los recursos con que se cuenta,
* objetivos especificos de la empresa.
* debe deestablecerse la calidad de la información que se maneja según su objetivo,
* la calidad que debe tener la información quiere decir que se establezca cuando o para quien la información debe ser confidencial, cuando debe verificarse su integridad y cuando debe de verificarse su autenticidad tanto de la información como de los usuarios.
Análisis de riesgos: consiste en enumerar todo tipo de riesgos alos cuales esta expuesta la información y cuales son las consecuencias, los posibles atacantes entre persona empresas y dependencias de inteligencia, las posibles amenazas etc., enumerar todo tipo de posible perdida desde perdidas directas como dinero, clientes, tiempo etc., así como indirectas: créditos, perdida de imagen, implicación en un litigio, perdida de imagen, perdida de confianzaetcétera.
El riesgo se puede calcular por la formula riesgo = probabilidad perdida, por ejemplo el riesgo de perder un contrato por robo de información confidencial es igual a la probabilidad de que ocurra el robo multiplicado por la perdida total en pesos de no hacer el contrato. El riesgo de fraude en transacciones financieras es igual a la probabilidad de que ocurra el fraude por la perdida en pesosde que llegara ocurrir ese fraude. Si la probabilidad es muy pequeña el riesgo es menor, pero si la probabilidad es casi uno, el riesgo puede ser casi igual a la perdida total. Si por otro lado la pérdida es menor aunque la probabilidad de que ocurra el evento sea muy grande tenemos un riesgo menor. Por ejemplo la pérdida de una transacción de 300 pesos con una probabilidad muy grande de queocurra al usar criptografía débil, el riesgo llega a ser menor.
En el análisis de riesgo debe también incluirse los posibles ataques que puedan existir y sus posibles efectos.
Medidas de seguridad: esta parte la podemos plantear como la terminación de la toda la estructura de seguridad de la información. Una vez planteada una política de seguridad, decir cuanto vale la información, un análisisde riesgo, decir que tanto pierdo si le ocurre algo a mi información o que tanto se gana si se protege, debemos de establecer las medidas para que cumpliendo con la política de seguridad, las perdidas sean las menores posibles y que esto se transforme en ganancias ya sean materiales o de imagen.
Tipos | Protección Física | Medidas Técnicas | Medidas de Organización |
Preventivas | PF |PT | PO |
Detectivas | DF | DT | DO |
Correctiva | CF | CT | CO |
Las posibles medidas que se pueden establecer se pueden dividir según la siguiente tabla:
PF: guardias a la entrada del edificio, control en el acceso de entrada, protección al hardware, respaldo de datos, …
DF: monitor de vigilancia, detector de metales, detector de movimiento, …
CF: respaldo de fuente de poder, …
PT:firewalls, criptografía, bitácora, …
DT: control de acceso lógico, sesión de autenticación, …
CT: programa antivirus, …
PO: cursos de actualización, organización de las claves, …
DO: monitoreo de auditoria, …
CO: respaldos automáticos, plan de incidentes (sanciones), …
En resumen debemos de mencionar que no existe un sistema computarizado que garantice al 100% la seguridad de lainformación debido a la inmensa mayoría de formas diferentes con que se puede romper la seguridad de un sistema [2]. Sin embargo una buena planeación de la estrategia para dar seguridad a la información puede resultar desde la salvación de una empresa hasta la obtención de grandes ganancias directas en pesos, o como ganancias indirectas mejorando la imagen y la seguridad de la empresa. Uno de los...
Leer documento completo
Regístrate para leer el documento completo.