SEGURIDAD INFORMATICA
Páginas: 9 (2114 palabras)
Publicado: 13 de mayo de 2015
Gestión de Riesgo en la Seguridad Informática
La Gestión de Riesgo es un método que se utiliza con el fin de determinar, analizar, valorar y clasificar los riesgos a los cuales están expuestos una organización, para posteriormente iniciar con la implementación mecanismos que permitan controlar de forma pre y pos a cualquier evento que se pueda presentar.
Esta Gestión tiene como fin garantizar lasupervivencia de toda organización, minimizando todos los peligros asociados a cualquier riesgo que se pueda presentar; garantizando así que los costos por perdida debido a un evento presentado no sean tan altos.
En su forma general está metodología está compuesta por las siguientes cuatro fases:
Análisis: Determina los componentes de un sistema que requiere protección, sus vulnerabilidades quelo debilitan y las amenazas que lo ponen en peligro, con el resultado de revelar su grado de riesgo.
Clasificación: Determina si los riesgos encontrados y los riesgos restantes son aceptables.
Reducción: Define e implementa las medidas de protección. Además sensibiliza y capacita los usuarios conforme a las medidas.
Control: Analiza el funcionamiento, la efectividad y el cumplimiento de lasmedidas, para determinar y ajustar las medidas deficientes y sanciona el incumplimiento.
Todo el proceso está basado en políticas de seguridad de seguridad informática que existen a nivel mundial como la ISO 27001, las cuales forman el marco operativo del proceso en Gestión de Riesgo, con el propósito de potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando las amenazas conel resultado de reducir las mismas.
En la Seguridad y Gestión de riesgo Informático se debe distinguir dos propósitos de protección, la Seguridad de la Información y la Protección de Datos.
Se debe distinguir entre los dos, porque forman la base, dan la razón y justificación en la selección de los elementos de información que requieren una atención especial dentro del marco de la SeguridadInformática y normalmente también dan el motivo y la obligación para su protección.
Sin embargo hay que destacar que, aunque se diferencia entre la Seguridad de la Información y la Protección de Datos como motivo y obligación de las actividades de seguridad, las medidas de protección aplicadas normalmente serán las mismas.
En la Seguridad de la Información el objetivo de la protección son los datosmismos y trata de evitar su perdida y modificación no autorizada. La protección debe garantizar en primer lugar la confidencialidad, integridad y disponibilidad de los datos, sin embargo existen más requisitos como por ejemplo la autenticidad entre otros.
El motivo o el motor para implementar medidas de protección, que responden a la Seguridad de la Información, es el propio interés de la institución opersona que maneja los datos, porque la pérdida o modificación de los datos, le puede causar un daño (material o inmaterial).
En el caso de la Protección de Datos, el objetivo de la protección no son los datos en sí mismo, sino el contenido de la información sobre personas, para evitar el abuso de esta.
Esta vez, el motivo o el motor para la implementación de medidas de protección, por parte dela institución o persona que maneja los datos, es la obligación jurídica o la simple ética personal, de evitar consecuencias negativas para las personas de las cuales se trata la información.
Existe normas jurídicas que se encargan de juzgar y penalizar a personas e instituciones que se dediquen al hurto de información; pero se debe tener presente que la responsabilidad del uso adecuado de datos ylas consecuencias que puede causar en el caso de no tomar las medidas de protección necesarias, recae primero sobre los funcionarios que tengan acceso a ella, pues como ética profesional y formación básica, cada persona debe tomar sus propias medidas para evitar perdida de información.
Control de Riesgo
El propósito del control de riesgo es analizar el funcionamiento, la efectividad y el...
La Gestión de Riesgo es un método que se utiliza con el fin de determinar, analizar, valorar y clasificar los riesgos a los cuales están expuestos una organización, para posteriormente iniciar con la implementación mecanismos que permitan controlar de forma pre y pos a cualquier evento que se pueda presentar.
Esta Gestión tiene como fin garantizar lasupervivencia de toda organización, minimizando todos los peligros asociados a cualquier riesgo que se pueda presentar; garantizando así que los costos por perdida debido a un evento presentado no sean tan altos.
En su forma general está metodología está compuesta por las siguientes cuatro fases:
Análisis: Determina los componentes de un sistema que requiere protección, sus vulnerabilidades quelo debilitan y las amenazas que lo ponen en peligro, con el resultado de revelar su grado de riesgo.
Clasificación: Determina si los riesgos encontrados y los riesgos restantes son aceptables.
Reducción: Define e implementa las medidas de protección. Además sensibiliza y capacita los usuarios conforme a las medidas.
Control: Analiza el funcionamiento, la efectividad y el cumplimiento de lasmedidas, para determinar y ajustar las medidas deficientes y sanciona el incumplimiento.
Todo el proceso está basado en políticas de seguridad de seguridad informática que existen a nivel mundial como la ISO 27001, las cuales forman el marco operativo del proceso en Gestión de Riesgo, con el propósito de potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando las amenazas conel resultado de reducir las mismas.
En la Seguridad y Gestión de riesgo Informático se debe distinguir dos propósitos de protección, la Seguridad de la Información y la Protección de Datos.
Se debe distinguir entre los dos, porque forman la base, dan la razón y justificación en la selección de los elementos de información que requieren una atención especial dentro del marco de la SeguridadInformática y normalmente también dan el motivo y la obligación para su protección.
Sin embargo hay que destacar que, aunque se diferencia entre la Seguridad de la Información y la Protección de Datos como motivo y obligación de las actividades de seguridad, las medidas de protección aplicadas normalmente serán las mismas.
En la Seguridad de la Información el objetivo de la protección son los datosmismos y trata de evitar su perdida y modificación no autorizada. La protección debe garantizar en primer lugar la confidencialidad, integridad y disponibilidad de los datos, sin embargo existen más requisitos como por ejemplo la autenticidad entre otros.
El motivo o el motor para implementar medidas de protección, que responden a la Seguridad de la Información, es el propio interés de la institución opersona que maneja los datos, porque la pérdida o modificación de los datos, le puede causar un daño (material o inmaterial).
En el caso de la Protección de Datos, el objetivo de la protección no son los datos en sí mismo, sino el contenido de la información sobre personas, para evitar el abuso de esta.
Esta vez, el motivo o el motor para la implementación de medidas de protección, por parte dela institución o persona que maneja los datos, es la obligación jurídica o la simple ética personal, de evitar consecuencias negativas para las personas de las cuales se trata la información.
Existe normas jurídicas que se encargan de juzgar y penalizar a personas e instituciones que se dediquen al hurto de información; pero se debe tener presente que la responsabilidad del uso adecuado de datos ylas consecuencias que puede causar en el caso de no tomar las medidas de protección necesarias, recae primero sobre los funcionarios que tengan acceso a ella, pues como ética profesional y formación básica, cada persona debe tomar sus propias medidas para evitar perdida de información.
Control de Riesgo
El propósito del control de riesgo es analizar el funcionamiento, la efectividad y el...
Leer documento completo
Regístrate para leer el documento completo.