Evaluacion de riesgos

ANÁLISIS Y EVALUACIÓN DE LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Y SUS CONSECUENCIAS.

Se debe analizar el impacto en el negocio de un fallo de seguridad que suponga la pérdida de confidencialidad, integridad o disponibilidad de un activo de información, evaluando de forma realista la probabilidad de ocurrencia de un fallo de seguridad en relación a las amenazas, vulnerabilidades e impactos en los activos.

Además de riesgo en sí, es necesario analizar también sus consecuencias potenciales, que son muchas y de distinta gravedad: desde una simple dispersión de la información a la pérdida o robo de datos relevantes o confidenciales.

Una posible metodología de evaluación de riesgos estaría compuesta de las siguientes fases:

  • Recogida y preparación de la información.
  • Identificación, clasificación y valoración los grupos de activos.
  • Distinción y clasificación de las amenazas.
  • Identificación y estimación de las vulnerabilidades.
  • Diferenciación y valoración de impactos: identificar, tipificar y valorar los impactos.
  • Evaluación y análisis del riesgo.

Riesgo aceptable

No se trata de eliminar totalmente el riesgo, ya que muchas veces no es posible ni tampoco resultaría rentable, sino de reducir su posibilidad de ocurrencia y minimizar las consecuencias a unos niveles que la organización pueda asumir, sin que suponga un perjuicio demasiado grave a todos los niveles: económico, logístico, de imagen, de credibilidad, etc.

¿Cuáles son las principales amenazas de la seguridad informática?

Riesgo residual

Se trata del riesgo que permanece y subsiste después de haber implementado los debidos controles, es decir, una vez que la organización haya desarrollado completamente un SGSI. Es un reflejo de las posibilidades de que ocurra un incidente, pese a verse implantado con eficacia las medidas evaluadoras y correctoras para mitigar el riesgo inherente.

Los dueños del riesgo

Dicho responsable no tiene por qué ser la persona que finalmente ejecuta los controles, sino alguien que se responsabiliza de que realmente los controles se están llevando a cabo acorde a lo establecido.


AMENAZAS CON LAS QUE SE TIENEN QUE PROTEGER

 

¿Cuáles son las principales amenazas de la seguridad informática?

Seguridad informática, ciberseguridad o seguridad de las tecnologías de la información es el ámbito que tiene que ver con la protección de la infraestructura informática y/o telemática y toda la información contenida en ella. Dentro de esta área se incluyen: cualquier tipo de software como bases de datos o archivos, hardware, redes de ordenadores y aquello que conlleve información confidencial en un medio informático.

Amenazas

Para conseguir un sistema de información seguro y confiable se establecen una serie de estándares, protocolos, métodos, reglas y técnicas. Sin embargo, existen amenazas que deben tenerse en cuenta:

Usuarios

Se considera la causa del mayor problema ligado a la seguridad de un sistema informático. Es así porque con sus acciones podrían ocasionar graves consecuencias.

Programas maliciosos

Conocidos como malware son destinados a perjudicar un ordenador cuando se instala o hacer uso ilícito de datos. Suelen ser un virus informático, un troyano o un spyware.

Errores de programación

Más que un peligro, se trata de un mal desarrollo. Pero también se tiene que ver como un riesgo evitando que los sistemas operativos y aplicaciones estén sin actualizar.

Intrusos

Cuando personas que no están autorizadas acceden a programas o datos que no deberían, como es el caso de los hackers.

Siniestro

También se puede perder o deteriorar material informático por una mala manipulación o mala intención. Aquí entrarían situaciones como robo, incendio o inundación.

Fallos electrónicos

Un sistema informático en general puede verse afectado por problemas del suministro eléctrico o por errores lógicos como cualquier otro dispositivo que no es perfecto.

  • Catástrofes naturales
  • Rayos, terremotos, inundaciones.

Según el efecto que produce alguna de las anteriores amenazas se distingue entre:

  • Robo de información.
  • Destrucción de información.
  • Anulación del funcionamiento de los sistemas.
  • Suplantación de la identidad, publicidad de datos personales o confidenciales, cambio de información.
  • Robo de dinero o estafas.

 

Copias de seguridad

Una empresa debe proteger permanentemente su información ya que es el activo más importante que puede dañarse por gran cantidad de factores: robos, incendios, virus. Para proteger de forma eficiente los datos son imprescindibles las copias de seguridad o backups. En función del volumen de contenido generado y la cantidad de equipos se perfilará el mejor plan de protección.

Organismos oficiales

Debes saber que tanto a nivel estatal como europea existen entidades especializadas para asegurar los servicios de prevención de riesgos de la seguridad informática y asistencia de las incidencias.

 

PROTECCIÓN LEGAL

DIAGNÓSTICO: 

• Incremento en cantidad y variedad de amenazas y vulnerabilidades que rodean a los AC-TI-VOS de información. 

• Ausencia de Política de Seguridad de la Información

 • Falta de actualización de las Políticas (a fin de mantener su vigencia y nivel de eficacia).


 Aspectos Legales de la Seguridad Informática

La seguridad de la información armoniza las relaciones y la interconexión de:

 a) Redes públicas entre sí=e-gobierno

 b) Redes privadas entre sí= + e-negocio

 c) Redes públicas y privadas entre sí= egobierno + e-negocio

 

                                          ACTUALIZACIÓN REQUISITOS

  • Compromiso/apoyo de la Dirección de la organización.
  • Concientización y formación del personal/ Compromiso de mejora continua.
  • Evaluación de riesgos exhaustiva y adecuada a la organización.
  • Establecimiento de políticas.

                                                    FACTORES CRÍTICOS 

  • La concientización del empleado por la seguridad. 
  • Provisión para el financiamiento de las actividades de gestión de la seguridad de la información. (hay líneas de financiamiento nacional /provincial para estas actividades).

                                                    FACTORES CRÍTICOS

  • Proveer el conocimiento, capacitación y educación apropiados a los distintos niveles de la organización acordes a las responsabilidades.

                                                   ¿MITOS O VERDADES?

  • La seguridad absoluta no existe, se trata de reducir el riesgo a niveles aceptables
  • La seguridad no es un producto, es un proceso. 
  • La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito.
  • La seguridad debe ser inherente a los procesos de información.

 

                          CARACTERÍSTICAS DE LA SEGURIDAD DE LA INFORMACIÓN 

Tríada CID: Confidencialidad, Integridad y Disponibilidad.

Confidencialidad: es aproximadamente equivalente a la privacidad. Las medidas emprendidas para garantizar la confidencialidad están diseñadas para evitar que la información confidencial llegue a las personas equivocadas, al tiempo que se garantiza que las personas adecuadas puedan obtenerla

Integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento. 

Disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con la misma, toda vez que lo requieran.

 

                                          ASPECTOS LEGALES A EVALUAR

a)    Protección de datos y privacidad de la información personal

  • Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables.
  • Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud.

 b) Derechos de propiedad intelectual


Comentarios

Entradas más populares de este blog

Tipos de ataques

Creación del plan, procedimiento y políticas de seguridad