Seguridad
Páginas: 18 (4319 palabras)
Publicado: 30 de julio de 2010
GUIA PARA LA EVALUACION DE SEGURIDAD EN UN SISTEMA
Luz Marina Santos
Universidad de Pamplona
lsantos@unipamplona.edu.co
Teléfono: 5685303 Ext. 141
Carrera 9 # 5-53 2do. Piso Pamplona
Resumen
Este documento presenta una serie de delineamientos básicos productos de la experiencia e investigación para la evaluación de seguridad en un sistema, con el objeto de articular diversos conceptosy técnicas para la identificación y valoración de riesgos. El artículo se enfoca primordialmente en los métodos de análisis de riesgos, checklist y auditoria.
Palabras claves
Riesgo, amenaza, impacto, frecuencia, vulnerabilidad, checklist, políticas de seguridad y auditoria.
1. INTRODUCCION
A nivel de investigación y academia diversas metodologías para implantar seguridad en sistemashan sido planteadas: Metodología de implantación de seguridad en redes [ACOS-98], “Metodología para la implantación de seguridad en aplicaciones distribuidas [SANT-99], etc; también se elaboran otra serie de metodologías por analistas de seguridad que laboran en la empresa privada.
Todas las metodologías llegan a un punto donde se preguntan ¿cómo valorar el impacto que causaría a un sistemala consecución de una amenaza?, la respuesta no es fácil, requiere de un análisis serio por parte del grupo de personas encargado de realizar dicha valoración.
El objetivo del presente es exponer y presentar algunas reflexiones sobre tres métodos tradicionales para evaluar la seguridad de un sistema: análisis de riesgos, listas de chequeo y auditoria.
En áreas donde las pérdidas esperadas yfrecuencia de las amenazas están bien definidas, el análisis de riesgos puede ser usado. Donde las pérdidas esperadas y frecuencia de las amenazas no esta claro, se pueden usar inicialmente listas de chequeo para verificar los principios y prácticas de seguridad estándares. Requerimientos de seguridad adicionales pueden ser determinados con métodos de auditoria o evaluaciones de protección deseguridad. [FIPS-79]
2. APLICACIÓN DE LOS METODOS DE EVALUACION
No se trata de especificar en qué o cuáles casos se aplica un método u otro, los tres se complementan con el objeto de evaluar la seguridad, lo que si es posible diferenciar es los espacios de tiempo en que se realizan.
Para empezar la evaluación de seguridad en un sistema resulta beneficioso aplicarlistas de chequeo, estas no son un sustituto del formal análisis de riesgos, más bien, al realizarse constituye un punto de partida a éste en aquellos puntos que quedan sujetos a revisión. Además que se pueden tomar medidas correctivas en forma rápida, que no implican mayor costo y esfuerzo.
El proceso de auditoria es planeada para realizarse periódicamente, lo que indica que se llevará a cabotiempo después que se ha realizado un análisis de riesgos, con el objeto de verificar si se están cumpliendo los controles y políticas de seguridad previstos anteriormente.
Independiente de si existe en la organización o no información estadística de los elementos que determinan los riesgos, es recomendable al grupo evaluador realizar el proceso de análisis de riesgos, así sea en forma cualitativa,con el objeto de crear esta cultura en la organización.
A continuación la tabla 1 presenta los beneficios y dificultades que presentan los métodos tratados en este artículo.
Tabla 1. Pros/Contras
|Métodos/ |PROS |CONTRAS |
|Análisis de |-Crea la cultura del riesgo y su manejo en una|-Existe resistencia a su aplicación, ya sea por |
|Riesgos |organización. |ignorancia, arrogancia o miedo. |
| |-Expresa en mejores términos las pérdidas al ocurrir|-Es un proceso que requiere gran cantidad de tiempo |
| |un evento desfavorable. |y de información disponible....
Luz Marina Santos
Universidad de Pamplona
lsantos@unipamplona.edu.co
Teléfono: 5685303 Ext. 141
Carrera 9 # 5-53 2do. Piso Pamplona
Resumen
Este documento presenta una serie de delineamientos básicos productos de la experiencia e investigación para la evaluación de seguridad en un sistema, con el objeto de articular diversos conceptosy técnicas para la identificación y valoración de riesgos. El artículo se enfoca primordialmente en los métodos de análisis de riesgos, checklist y auditoria.
Palabras claves
Riesgo, amenaza, impacto, frecuencia, vulnerabilidad, checklist, políticas de seguridad y auditoria.
1. INTRODUCCION
A nivel de investigación y academia diversas metodologías para implantar seguridad en sistemashan sido planteadas: Metodología de implantación de seguridad en redes [ACOS-98], “Metodología para la implantación de seguridad en aplicaciones distribuidas [SANT-99], etc; también se elaboran otra serie de metodologías por analistas de seguridad que laboran en la empresa privada.
Todas las metodologías llegan a un punto donde se preguntan ¿cómo valorar el impacto que causaría a un sistemala consecución de una amenaza?, la respuesta no es fácil, requiere de un análisis serio por parte del grupo de personas encargado de realizar dicha valoración.
El objetivo del presente es exponer y presentar algunas reflexiones sobre tres métodos tradicionales para evaluar la seguridad de un sistema: análisis de riesgos, listas de chequeo y auditoria.
En áreas donde las pérdidas esperadas yfrecuencia de las amenazas están bien definidas, el análisis de riesgos puede ser usado. Donde las pérdidas esperadas y frecuencia de las amenazas no esta claro, se pueden usar inicialmente listas de chequeo para verificar los principios y prácticas de seguridad estándares. Requerimientos de seguridad adicionales pueden ser determinados con métodos de auditoria o evaluaciones de protección deseguridad. [FIPS-79]
2. APLICACIÓN DE LOS METODOS DE EVALUACION
No se trata de especificar en qué o cuáles casos se aplica un método u otro, los tres se complementan con el objeto de evaluar la seguridad, lo que si es posible diferenciar es los espacios de tiempo en que se realizan.
Para empezar la evaluación de seguridad en un sistema resulta beneficioso aplicarlistas de chequeo, estas no son un sustituto del formal análisis de riesgos, más bien, al realizarse constituye un punto de partida a éste en aquellos puntos que quedan sujetos a revisión. Además que se pueden tomar medidas correctivas en forma rápida, que no implican mayor costo y esfuerzo.
El proceso de auditoria es planeada para realizarse periódicamente, lo que indica que se llevará a cabotiempo después que se ha realizado un análisis de riesgos, con el objeto de verificar si se están cumpliendo los controles y políticas de seguridad previstos anteriormente.
Independiente de si existe en la organización o no información estadística de los elementos que determinan los riesgos, es recomendable al grupo evaluador realizar el proceso de análisis de riesgos, así sea en forma cualitativa,con el objeto de crear esta cultura en la organización.
A continuación la tabla 1 presenta los beneficios y dificultades que presentan los métodos tratados en este artículo.
Tabla 1. Pros/Contras
|Métodos/ |PROS |CONTRAS |
|Análisis de |-Crea la cultura del riesgo y su manejo en una|-Existe resistencia a su aplicación, ya sea por |
|Riesgos |organización. |ignorancia, arrogancia o miedo. |
| |-Expresa en mejores términos las pérdidas al ocurrir|-Es un proceso que requiere gran cantidad de tiempo |
| |un evento desfavorable. |y de información disponible....
Leer documento completo
Regístrate para leer el documento completo.