Gestión estratégica de seguridad en la empresa - Anetcom

More documents

Recommendations

Info

32 les (ISO, NIST, etc.), así como en el desarrollo de numerosas metodologías y herramientas que los implementan (MAGERIT, CRAMM, Octave, etc.) El proceso de análisis y gestión de riesgo propuesto por estos estándares puede resumirse en los siguientes pasos: • Establecimiento del alcance del análisis, identificando los activos de información que deban ser contemplados. • Identificación de los riesgos. Identificación de las vulnerabilidades y amenazas a las que están sujetos los activos de información comprendidos en el alcance. • Análisis de los riesgos. Valoración de los riesgos identificados, en función de su probabilidad de ocurrencia e impacto asociado. • Evaluación de los riesgos. A partir del análisis de riesgo, la organización procede a evaluar los mismos y decidir si son asumibles o no. En caso de no serlos, se procederá a tratar los mismos. • Tratamiento de los riesgos. Despliegue de controles y contramedidas de seguridad que mitiguen los riesgos. 2.2.1. Identificación de activos: el corazón del negocio El objetivo de toda Estrategia de Seguridad de la Información es proteger los activos de información de la organización. Y la razón para ello es la dependencia entre los servicios y procesos de negocio de una organización y dichos activos. Hoy por hoy, cualquier actividad, servicio o proceso de negocio desarrollado por una organización depende, en mayor o menor medida, de la información y los medios empleados para su procesamiento, almacenamiento o trasmisión. Cualquier disrupción en estos últimos supone un impacto en las actividades de la organización. Como se ha comentado con anterioridad, el modelo de análisis y gestión de riesgos persigue identificar los riesgos a los que se encuentran sometidos los
activos de información, de forma que la organización pueda priorizar los mismos y adoptar las medidas adecuadas. Por lo tanto, el primer paso que debe plantearse toda organización es conocer cuáles son sus activos de información y cómo sus servicios y procesos de negocio se apoyan en los mismos. A tal fin, la organización debe abordar un proceso de inventariado de activos de información. Este proceso debe seguir una aproximación de arriba a abajo (top down), identificando en primer lugar los servicios proporcionados por la organización. A continuación, se debe proceder a identificar los procesos de negocio implicados para, finalmente, identificar los activos de información que dan soporte a dichos procesos. De esta forma, la organización dispondrá de un inventario o mapa de activos sobre el cual desarrollar el posterior análisis de riesgos. Ilustración 6.- De los servicios a los activos. Es importante resaltar que no sólo interesa disponer de una enumeración de servicios, procesos y activos, si no que resulta indispensable conocer las relaciones y dependencias existentes entre los mismos. 33
Page 3 and 4: Gestión Estratégica de Seguridad
Page 5 and 6: Índice Prólogo 7 1. Introducción
Page 9 and 10: Prólogo La Seguridad de los Sistem
Page 13 and 14: Introducción Definitivamente era m
Page 15 and 16: Ilustración 1.- Seguridad de la In
Page 17 and 18: Dado el escenario planteado, en el
Page 19 and 20: que se enfrenta su organización, s
Page 21 and 22: fiduciarios y específicos de segur
Page 23 and 24: Ilustración 2.- El papel del Gobie
Page 25: sos humanos, tecnología, continuid
Page 28 and 29: 26 ción haga suya dicha política,
Page 30 and 31: 28 1. Definición del equipo de red
Page 32 and 33: 30 A la segunda de las preguntas se
Page 36 and 37: 34 ¿Por qué incluir en un inventa
Page 38 and 39: 36 2.2.3. El riesgo como factor de
Page 40 and 41: 38 2.2.4. Algunas realidades en la
Page 42 and 43: 40 Cuando se aborda la determinaci
Page 44 and 45: ◆ 42 dicho análisis debe ser val
Page 46 and 47: 44 Su objetivo es por tanto prioriz
Page 48 and 49: 46 que a través del Plan Director
Page 50 and 51: 48 El último aspecto que se debe r
Page 52 and 53: 50 • La gestión. • Los sistema
Page 54 and 55: 52 • Existen varias líneas de de
Page 56 and 57: 54 La política de mantenimiento de
Page 58 and 59: 56 • Proporcionar seguridad de lo
Page 60 and 61: 58 tructura de cortafuegos, segment
Page 62 and 63: 60 • Dispositivos móviles accedi
Page 64 and 65: 62 • Accesos remotos (redes priva
Page 66 and 67: 64 Estas tecnologías suelen trabaj
Page 68 and 69: 66 de la continuidad se ha converti
Page 70 and 71: 68 ción y los recursos necesarios
Page 72 and 73: 70 ble de servicio estima que la en
Page 74 and 75: 72 Ilustración 14.- Priorización
Page 76 and 77: 74 la intimidad personal y familiar
Page 78 and 79: 76 Gestión de incidencias Control
Page 80 and 81: 78 • Los precios de los productos
Page 82 and 83: 80 para la realización de las audi
Page 84 and 85:
82 Si lo deseado es un resultado ho
Page 86 and 87:
84 le queda en el depósito o si ha
Page 88 and 89:
86 los indicadores y métricas de s
Page 90 and 91:
88 En definitiva, el Cuadro de Mand
Page 92 and 93:
90 Otro caso especialmente relevant
Page 94 and 95:
92 • Certificaciones de Seguridad
Page 96 and 97:
94 • ISO/IEC 27001 se centra en l
Page 98 and 99:
96 pero que no sabe si se está rea
Page 100 and 101:
98 económicos. Por ello, es fundam
Page 102 and 103:
100 esta fase se encarga también d
Page 104 and 105:
102 COBIT® parte de un concepto se
Page 106 and 107:
◆ 3.3. Gestión de Servicios TI:
Page 108 and 109:
106 1. Alcance. 2. Términos y defi
Page 111:
• ISO 17799 • COBIT • ISO 270
show all

Gestión estratégica de seguridad en la empresa - Anetcom

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?