Evaluacion de riesgos
ANÁLISIS
Y EVALUACIÓN DE LOS RIESGOS DE SEGURIDAD DE LA INFORMACIÓN Y SUS CONSECUENCIAS.
Se debe analizar el impacto en
el negocio de un fallo de seguridad que suponga la pérdida de confidencialidad,
integridad o disponibilidad de un activo de información, evaluando de
forma realista la probabilidad de ocurrencia de un fallo de seguridad en
relación a las amenazas, vulnerabilidades e impactos en los activos.
Además de riesgo en sí, es
necesario analizar también sus consecuencias potenciales, que son muchas y de
distinta gravedad: desde una simple dispersión de la información a la
pérdida o robo de datos relevantes o confidenciales.
Una posible metodología de evaluación de riesgos estaría compuesta de las siguientes fases:
- Recogida y preparación de la información.
- Identificación, clasificación y valoración los grupos de activos.
- Distinción y clasificación de las amenazas.
- Identificación y estimación de las vulnerabilidades.
- Diferenciación y valoración de impactos: identificar, tipificar y valorar los impactos.
- Evaluación y análisis del riesgo.
Riesgo aceptable
No se trata de eliminar
totalmente el riesgo, ya que muchas veces no es posible ni tampoco resultaría
rentable, sino de reducir su posibilidad de ocurrencia y minimizar las
consecuencias a unos niveles que la organización pueda asumir, sin que suponga
un perjuicio demasiado grave a todos los niveles: económico, logístico, de
imagen, de credibilidad, etc.
¿Cuáles
son las principales amenazas de la seguridad informática?
Riesgo residual
Se trata del riesgo que permanece y subsiste después de haber implementado los debidos controles, es decir, una vez que la organización haya desarrollado completamente un SGSI. Es un reflejo de las posibilidades de que ocurra un incidente, pese a verse implantado con eficacia las medidas evaluadoras y correctoras para mitigar el riesgo inherente.
Los dueños del riesgo
Dicho responsable no tiene por
qué ser la persona que finalmente ejecuta los controles, sino alguien que se
responsabiliza de que realmente los controles se están llevando a cabo acorde a
lo establecido.
AMENAZAS CON LAS QUE SE TIENEN
QUE PROTEGER
¿Cuáles son las principales
amenazas de la seguridad informática?
Seguridad informática, ciberseguridad o seguridad
de las tecnologías de la información es el ámbito que tiene que ver con la
protección de la infraestructura informática y/o telemática y toda la
información contenida en ella. Dentro de esta área se incluyen: cualquier tipo
de software como bases de datos o archivos, hardware, redes de ordenadores y
aquello que conlleve información confidencial en un medio informático.
Amenazas
Para conseguir un sistema de
información seguro y confiable se establecen una serie de estándares,
protocolos, métodos, reglas y técnicas. Sin embargo, existen amenazas que deben
tenerse en cuenta:
Usuarios
Se considera la causa del
mayor problema ligado a la seguridad de un sistema informático. Es así porque
con sus acciones podrían ocasionar graves consecuencias.
Programas maliciosos
Conocidos como malware son
destinados a perjudicar un ordenador cuando se instala o hacer uso ilícito de
datos. Suelen ser un virus informático, un troyano o un spyware.
Errores de programación
Más que un peligro, se trata
de un mal desarrollo. Pero también se tiene que ver como un riesgo evitando que
los sistemas operativos y aplicaciones estén sin actualizar.
Intrusos
Cuando personas que no están
autorizadas acceden a programas o datos que no deberían, como es el caso de los
hackers.
Siniestro
También se puede perder o
deteriorar material informático por una mala manipulación o mala intención.
Aquí entrarían situaciones como robo, incendio o inundación.
Fallos electrónicos
Un sistema informático en
general puede verse afectado por problemas del suministro eléctrico o por
errores lógicos como cualquier otro dispositivo que no es perfecto.
- Catástrofes naturales
- Rayos, terremotos, inundaciones.
Según el efecto que produce
alguna de las anteriores amenazas se distingue entre:
- Robo de información.
- Destrucción de información.
- Anulación del funcionamiento de los sistemas.
- Suplantación de la identidad, publicidad de datos personales o confidenciales, cambio de información.
- Robo de dinero o estafas.
Copias de seguridad
Una empresa debe proteger
permanentemente su información ya que es el activo más importante que puede
dañarse por gran cantidad de factores: robos, incendios, virus. Para proteger de
forma eficiente los datos son imprescindibles las copias de seguridad o backups.
En función del volumen de contenido generado y la cantidad de equipos se
perfilará el mejor plan de protección.
Organismos oficiales
Debes saber que tanto a nivel
estatal como europea existen entidades especializadas para asegurar los
servicios de prevención de riesgos de la seguridad informática y asistencia de
las incidencias.
PROTECCIÓN
LEGAL
DIAGNÓSTICO:
• Incremento en cantidad y
variedad de amenazas y vulnerabilidades que rodean a los AC-TI-VOS de
información.
• Ausencia de Política de
Seguridad de la Información
• Falta de actualización
de las Políticas (a fin de mantener su vigencia y nivel de eficacia).
Aspectos Legales de la Seguridad Informática
La seguridad de la información
armoniza las relaciones y la interconexión de:
a) Redes públicas entre
sí=e-gobierno
b) Redes privadas entre
sí= + e-negocio
c) Redes públicas y
privadas entre sí= egobierno + e-negocio
ACTUALIZACIÓN REQUISITOS
- Compromiso/apoyo de la Dirección de la organización.
- Concientización y formación del personal/ Compromiso de mejora continua.
- Evaluación de riesgos exhaustiva y adecuada a la organización.
- Establecimiento de políticas.
FACTORES CRÍTICOS
- La concientización del empleado por la seguridad.
- Provisión para el financiamiento de las actividades de gestión de la seguridad de la información. (hay líneas de financiamiento nacional /provincial para estas actividades).
FACTORES CRÍTICOS
- Proveer el conocimiento, capacitación y educación apropiados a los distintos niveles de la organización acordes a las responsabilidades.
¿MITOS
O VERDADES?
- La seguridad absoluta no existe, se trata de reducir el riesgo a niveles aceptables
- La seguridad no es un producto, es un proceso.
- La seguridad no es un proyecto, es una actividad continua y el programa de protección requiere el soporte de la organización para tener éxito.
- La seguridad debe ser inherente a los procesos de información.
CARACTERÍSTICAS
DE LA SEGURIDAD DE LA INFORMACIÓN
Tríada CID: Confidencialidad,
Integridad y Disponibilidad.
Confidencialidad: es
aproximadamente equivalente a la privacidad. Las medidas emprendidas para
garantizar la confidencialidad están diseñadas para evitar que la
información confidencial llegue a las personas equivocadas, al tiempo que se
garantiza que las personas adecuadas puedan obtenerla
Integridad: se
salvaguarda la exactitud y totalidad de la información y los métodos de
procesamiento.
Disponibilidad: se
garantiza que los usuarios autorizados tengan acceso a la información y a los
recursos relacionados con la misma, toda vez que lo requieran.
ASPECTOS LEGALES A EVALUAR
a) Protección
de datos y privacidad de la información personal
- Datos personales: Información
de cualquier tipo referida a personas físicas o de existencia ideal
determinadas o determinables.
- Datos sensibles:
Datos personales que revelan origen racial y étnico, opiniones políticas,
convicciones religiosas, filosóficas o morales, afiliación sindical e información
referente a la salud.
b) Derechos de propiedad
intelectual
Comentarios
Publicar un comentario