Sistemas Operativos
Páginas: 18 (4307 palabras)
Publicado: 1 de noviembre de 2013
Cuantificación de Riesgos de la Información y la Seguridad
La realización de las evaluaciones de riesgos y el cálculo del retorno de la inversión (ROI) de seguridad de la información es un reto. Marco IT1 Riesgo de ISACA define riesgo como "El riesgo del negocio asociado con el uso, la propiedad, la participación, la influencia y la adopción de las TI dentro de la empresa." 2 Dicho esto, lagestión del riesgo requiere predicciones, suposiciones y conjeturas.
COBIT ® 5 para la Seguridad de la Información se ocupa de cuestiones de gobernanza que faltaban en anteriores publicaciones, estándares y buenas prácticas. A pesar de que ofrece muchos de los indicadores y métricas sugeridas, cuantificando seguridad de la información en términos de negocio sigue siendo difícil.
El impacto delos eventos de seguridad de la empresa se basa en el conocimiento de los incidentes, los sistemas y servicios que son esenciales para apoyar los procesos de negocio de TI, y la evaluación de las repercusiones de sus fallos en las operaciones comerciales. La adquisición de este conocimiento se basa en procesos de negocio, los dueños son los únicos que pueden evaluar y cuantificar el impactooperativo, financiero y regulatorio de las interrupciones. El impacto en la reputación sigue siendo difícil de calcular con alguna exactitud.
Un análisis del impacto empresarial bien desarrollado (BIA) debe reflejar cómo se ven afectadas las operaciones del negocio y cómo el tiempo afecta a dicho impacto, ya que rara vez es una función lineal. A la interrupción del servicio de 10 minutos puedetener un impacto insignificante mientras que la misma interrupción del servicio ampliado de tres días puede ser catastrófica para el negocio.
Como los BIAS se basan en los datos disponibles y fiables evaluados por personas familiarizadas con los procesos de negocio específicos, permiten que el impacto se evaluará de manera plausible. Aunque las cifras no son exactas, pueden ser aceptados como "losuficientemente confiable."
El resultado de sesgo debe ser un conjunto de bien diseñados , probados y actualizados ( planes de respuesta a incidentes , recuperación ante desastres , continuidad de negocio y gestión de crisis ) . La eficacia de este tipo de planes puede determinar la diferencia entre la supervivencia y la quiebra de empresas .
La gestión del riesgo empresarial ( ERM) , de loscuales los riesgos de TI es un componente, surgió de diferentes problemas relacionados con un enfoque basado en el riesgo con la gestión que integra los aspectos de control interno y la planificación estratégica e incluye, entre otras cosas , el cumplimiento regulatorio. Al igual que la comprensión de los impactos , ERM debe ser propiedad de los gerentes de empresas . La figura 1 muestra lasprincipales diferencias entre BIA y ERM . Dos disciplinas - la información de gestión de riesgos y seguridad de la información , han emigrado de sus nichos especializados en el campo más amplio de la gestión empresarial . Las evaluaciones de riesgos y el cálculo de retorno de la inversión para la seguridad de la información se vinculan temas. El análisis que sigue examina cómo y por qué. Se espera quelos profesionales de seguridad de la información para dominar ambas disciplinas y este artículo intenta describir las muchas trampas que estos temas contienen.
Figura 1-Las diferencias en los ámbitos de la BIA y ERM
GESTIÓN DE RIESGOS INFORMACIÓN
Gestión de riesgos de la información (IRM) llamó la atención de los gerentes de empresas a través de los siguientes factores:
• Laconvergencia de la creciente dependencia de las tecnologías de la información en las operaciones empresariales
• La naturaleza de misión crítica de muchos sistemas y servicios de información
• La dependencia de una red abierta y global (Internet) y sus efectos secundarios (en particular la ciberdelincuencia y los programas maliciosos de origen desconocido)
• Aumentar su preocupación por la...
La realización de las evaluaciones de riesgos y el cálculo del retorno de la inversión (ROI) de seguridad de la información es un reto. Marco IT1 Riesgo de ISACA define riesgo como "El riesgo del negocio asociado con el uso, la propiedad, la participación, la influencia y la adopción de las TI dentro de la empresa." 2 Dicho esto, lagestión del riesgo requiere predicciones, suposiciones y conjeturas.
COBIT ® 5 para la Seguridad de la Información se ocupa de cuestiones de gobernanza que faltaban en anteriores publicaciones, estándares y buenas prácticas. A pesar de que ofrece muchos de los indicadores y métricas sugeridas, cuantificando seguridad de la información en términos de negocio sigue siendo difícil.
El impacto delos eventos de seguridad de la empresa se basa en el conocimiento de los incidentes, los sistemas y servicios que son esenciales para apoyar los procesos de negocio de TI, y la evaluación de las repercusiones de sus fallos en las operaciones comerciales. La adquisición de este conocimiento se basa en procesos de negocio, los dueños son los únicos que pueden evaluar y cuantificar el impactooperativo, financiero y regulatorio de las interrupciones. El impacto en la reputación sigue siendo difícil de calcular con alguna exactitud.
Un análisis del impacto empresarial bien desarrollado (BIA) debe reflejar cómo se ven afectadas las operaciones del negocio y cómo el tiempo afecta a dicho impacto, ya que rara vez es una función lineal. A la interrupción del servicio de 10 minutos puedetener un impacto insignificante mientras que la misma interrupción del servicio ampliado de tres días puede ser catastrófica para el negocio.
Como los BIAS se basan en los datos disponibles y fiables evaluados por personas familiarizadas con los procesos de negocio específicos, permiten que el impacto se evaluará de manera plausible. Aunque las cifras no son exactas, pueden ser aceptados como "losuficientemente confiable."
El resultado de sesgo debe ser un conjunto de bien diseñados , probados y actualizados ( planes de respuesta a incidentes , recuperación ante desastres , continuidad de negocio y gestión de crisis ) . La eficacia de este tipo de planes puede determinar la diferencia entre la supervivencia y la quiebra de empresas .
La gestión del riesgo empresarial ( ERM) , de loscuales los riesgos de TI es un componente, surgió de diferentes problemas relacionados con un enfoque basado en el riesgo con la gestión que integra los aspectos de control interno y la planificación estratégica e incluye, entre otras cosas , el cumplimiento regulatorio. Al igual que la comprensión de los impactos , ERM debe ser propiedad de los gerentes de empresas . La figura 1 muestra lasprincipales diferencias entre BIA y ERM . Dos disciplinas - la información de gestión de riesgos y seguridad de la información , han emigrado de sus nichos especializados en el campo más amplio de la gestión empresarial . Las evaluaciones de riesgos y el cálculo de retorno de la inversión para la seguridad de la información se vinculan temas. El análisis que sigue examina cómo y por qué. Se espera quelos profesionales de seguridad de la información para dominar ambas disciplinas y este artículo intenta describir las muchas trampas que estos temas contienen.
Figura 1-Las diferencias en los ámbitos de la BIA y ERM
GESTIÓN DE RIESGOS INFORMACIÓN
Gestión de riesgos de la información (IRM) llamó la atención de los gerentes de empresas a través de los siguientes factores:
• Laconvergencia de la creciente dependencia de las tecnologías de la información en las operaciones empresariales
• La naturaleza de misión crítica de muchos sistemas y servicios de información
• La dependencia de una red abierta y global (Internet) y sus efectos secundarios (en particular la ciberdelincuencia y los programas maliciosos de origen desconocido)
• Aumentar su preocupación por la...
Leer documento completo
Regístrate para leer el documento completo.