tecnico superior
Páginas: 8 (1982 palabras)
Publicado: 4 de diciembre de 2013
REPUBLICA BOLIVARIANA DE VENEZUELA
MINISTERIO POPULAR PARA LA EDUCACION
INSTITUTO UNIVERSTARIO DE TECNOLOGIA VENEZUELA
TERCER SEMESTRE: INFORMATICA
DISTRITO CAPITAL
TRABAJO MODULO III
PROF: LORENZO MOREJO INTERGRANTE:ALIYER CASANOVA
CARACAS, 4 DE DICIEMBRE DE 2013.
INTRODUCCION¿Cómo se evalúa la seguridad en un sistema de información?
No se trata de especificar en qué o cuáles casos se aplica un método u otro, los tres se complementan con el objeto de evaluar la seguridad, lo que si es posible diferenciar es los espacios de tiempo en que se realizan.
Para empezar la evaluación de seguridad en un sistema resulta beneficioso aplicar listas dechequeo, estas no son un sustituto del formal análisis de riesgos, más bien, al realizarse constituye un punto de partida a éste en aquellos puntos que quedan sujetos a revisión. Además que se pueden tomar medidas correctivas en forma rápida, que no implican mayor costo y esfuerzo.
El proceso de auditoría es planeada para realizarse periódicamente, lo que indica que se llevará a cabo tiempodespués que se ha realizado un análisis de riesgos, con el objeto de verificar si se están cumpliendo los controles y políticas de seguridad previstos anteriormente.
Independiente de si existe en la organización o no información estadística de los elementos que determinan los riesgos, es recomendable al grupo evaluador realizar el proceso de análisis de riesgos, así sea en forma cualitativa, conel objeto de crear esta cultura en la organización.
A continuación la tabla 1 presenta los beneficios y dificultades que presentan los métodos tratados en este artículo.
Tabla 1. Pros/Contras
Métodos/
PROS
CONTRAS
Análisis de Riesgos
-Crea la cultura del riesgo y su manejo en una organización.
-Expresa en mejores términos las pérdidas al ocurrir un evento desfavorable.
Metodologíacuantitativa
-Las valoraciones son objetivas.
-El valor de la información es expresado en términos monetarios.
-El presupuesto destinado a la seguridad del sistema esta basado en análisis confiables y bien sustentados.
Metodología cualitativa
-No es necesario determinar el valor monetario de la información, ni la frecuencia de las amenazas, ni el costo de las medidas a tomar y del análisiscosto/beneficio.
-Existe resistencia a su aplicación, ya sea por ignorancia, arrogancia o miedo.
-Es un proceso que requiere gran cantidad de tiempo y de información disponible.
-Proceso costoso.
Metodología cuantitativa
-No es práctico realizar valoraciones cuantitativas sin ayuda de herramientas y bases de conocimiento bien sólidas.
-Requieren una cantidad sustancial de información.
-Noexiste un estándar sobre amenazas y sus frecuencias.
Metodología cualitativa
-Toda valoración es esencialmente subjetiva, en procesos y métricas.
-La percepción de valores puede no reflejar realmente el actual valor del riesgo.
Listas de chequeo
(Check-list)
-Existen en forma abundante y libre. (Listas de chequeo técnicas)
-Fácil de aplicar, resumir y comparar.
-Flexibles
-Su análisis esrápido, consiste en verificar si existe o no existe un control que es aplicable al sistema en análisis.
-Se pueden aplicar medidas correctivas de inmediato.
-Arbitrario y subjetivo
-Necesitan actualizarse constantemente, en el caso que sean listas de chequeo de tipo técnico.
-Pueden no tratar necesidades de un sistema particular.
Auditoria
-Propicia el mejoramiento de procedimientos en elsistema.
-Reduce errores organizacionales
-Promueve la aplicación de las políticas y estándares de seguridad.
-Descubre nuevas amenazas al sistema. (Retroalimenta el análisis de riesgos)
-Aptitud negativa de los encargados de las partes auditadas.
-Requiere tiempo y esfuerzo.
-Requiere tener pistas de auditoria
Dentro de los sistemas, la información manejada siempre es en la forma...
MINISTERIO POPULAR PARA LA EDUCACION
INSTITUTO UNIVERSTARIO DE TECNOLOGIA VENEZUELA
TERCER SEMESTRE: INFORMATICA
DISTRITO CAPITAL
TRABAJO MODULO III
PROF: LORENZO MOREJO INTERGRANTE:ALIYER CASANOVA
CARACAS, 4 DE DICIEMBRE DE 2013.
INTRODUCCION¿Cómo se evalúa la seguridad en un sistema de información?
No se trata de especificar en qué o cuáles casos se aplica un método u otro, los tres se complementan con el objeto de evaluar la seguridad, lo que si es posible diferenciar es los espacios de tiempo en que se realizan.
Para empezar la evaluación de seguridad en un sistema resulta beneficioso aplicar listas dechequeo, estas no son un sustituto del formal análisis de riesgos, más bien, al realizarse constituye un punto de partida a éste en aquellos puntos que quedan sujetos a revisión. Además que se pueden tomar medidas correctivas en forma rápida, que no implican mayor costo y esfuerzo.
El proceso de auditoría es planeada para realizarse periódicamente, lo que indica que se llevará a cabo tiempodespués que se ha realizado un análisis de riesgos, con el objeto de verificar si se están cumpliendo los controles y políticas de seguridad previstos anteriormente.
Independiente de si existe en la organización o no información estadística de los elementos que determinan los riesgos, es recomendable al grupo evaluador realizar el proceso de análisis de riesgos, así sea en forma cualitativa, conel objeto de crear esta cultura en la organización.
A continuación la tabla 1 presenta los beneficios y dificultades que presentan los métodos tratados en este artículo.
Tabla 1. Pros/Contras
Métodos/
PROS
CONTRAS
Análisis de Riesgos
-Crea la cultura del riesgo y su manejo en una organización.
-Expresa en mejores términos las pérdidas al ocurrir un evento desfavorable.
Metodologíacuantitativa
-Las valoraciones son objetivas.
-El valor de la información es expresado en términos monetarios.
-El presupuesto destinado a la seguridad del sistema esta basado en análisis confiables y bien sustentados.
Metodología cualitativa
-No es necesario determinar el valor monetario de la información, ni la frecuencia de las amenazas, ni el costo de las medidas a tomar y del análisiscosto/beneficio.
-Existe resistencia a su aplicación, ya sea por ignorancia, arrogancia o miedo.
-Es un proceso que requiere gran cantidad de tiempo y de información disponible.
-Proceso costoso.
Metodología cuantitativa
-No es práctico realizar valoraciones cuantitativas sin ayuda de herramientas y bases de conocimiento bien sólidas.
-Requieren una cantidad sustancial de información.
-Noexiste un estándar sobre amenazas y sus frecuencias.
Metodología cualitativa
-Toda valoración es esencialmente subjetiva, en procesos y métricas.
-La percepción de valores puede no reflejar realmente el actual valor del riesgo.
Listas de chequeo
(Check-list)
-Existen en forma abundante y libre. (Listas de chequeo técnicas)
-Fácil de aplicar, resumir y comparar.
-Flexibles
-Su análisis esrápido, consiste en verificar si existe o no existe un control que es aplicable al sistema en análisis.
-Se pueden aplicar medidas correctivas de inmediato.
-Arbitrario y subjetivo
-Necesitan actualizarse constantemente, en el caso que sean listas de chequeo de tipo técnico.
-Pueden no tratar necesidades de un sistema particular.
Auditoria
-Propicia el mejoramiento de procedimientos en elsistema.
-Reduce errores organizacionales
-Promueve la aplicación de las políticas y estándares de seguridad.
-Descubre nuevas amenazas al sistema. (Retroalimenta el análisis de riesgos)
-Aptitud negativa de los encargados de las partes auditadas.
-Requiere tiempo y esfuerzo.
-Requiere tener pistas de auditoria
Dentro de los sistemas, la información manejada siempre es en la forma...
Leer documento completo
Regístrate para leer el documento completo.