Gestión estratégica de seguridad en la empresa - Anetcom

More documents

Recommendations

Info

34 ¿Por qué incluir en un inventario de activos los servicios y procesos de negocio de la organización? El modelo de análisis y gestión de riesgos es capaz de identificar las amenazas y vulnerabilidades a las que se encuentran sometidos los activos de información. En caso de materializarse una determinada amenaza en forma de un incidente de seguridad, el impacto tendrá una doble vertiente: • En primer lugar, afectará al propio activo de información, en forma de degradación o pérdida del mismo. • En segundo lugar, la degradación o pérdida de un activo afectará a los procesos de negocio que lo utilizaban y, por ende, a los servicios proporcionados por la organización. Es decir, las amenazas se materializan, explotando las vulnerabilidades, en los activos de información, mientras que el impacto repercute en los servicios y procesos de negocio. Un enfoque alternativo es pensar que los activos de información tienen asociado un determinado valor. ¿De qué depende el valor de un activo? Fundamentalmente de su importancia desde la perspectiva de los servicios y procesos de negocio de la organización. Así, un activo de escasa relevancia desde la perspectiva de los procesos de negocio tiene poco valor para la organización. 2.2.2. Amenazas de seguridad y vulnerabilidades Establecido el mapa o inventario de activos de información de la organización, el análisis de riesgos prosigue con la identificación de las amenazas y vulnerabilidades. Por amenaza debe entenderse cualquier escenario o situación que potencialmente puede materializarse como un incidente de seguridad. El abanico de amenazas al que se encuentra sometido el inventario o mapa de activos de la organización es variado: • Desastres naturales: terremotos, huracanes, etc. • Siniestros: inundaciones, incendios, etc. • Accidentes.
• Agresiones. • Etc. Toda organización debe elaborar una lista exhaustiva de las amenazas a las que pueda estar sometida para, posteriormente, evaluar la probabilidad de que dicha amenaza se materialice sobre los activos de información. Por ejemplo, al considerar como posible amenaza un terremoto, la organización debe analizar la probabilidad de ocurrencia a partir de los informes de actividad sísmica de la zona en la que se ubiquen los activos de información en cuestión. En ocasiones, como el caso de la amenaza por terremoto, la probabilidad puede calcularse a partir de información estadística existente. En otras ocasiones, esto no será posible, por lo que tendremos que recurrir a estimaciones y aproximación. A la hora de estimar la probabilidad de materialización de una amenaza, es necesario tener en consideración si el activo de información es vulnerable o no ante dicha amenaza. Veámoslo con un ejemplo: el virus del sarampión. ¿Cuál será la probabilidad de materialización de esta amenaza? Pues dependerá de si nos hemos vacunado o no contra dicho virus. Toda persona vacunada contra el virus del sarampión será inmune a dicho virus, es decir, no será vulnerable ante el virus. La probabilidad de contraer el virus es cero. Sin embargo, una persona que no haya sido vacunada contra el virus tendrá una cierta probabilidad, mayor que cero, de contraer la enfermedad. En el caso de las amenazas y activos de información, estamos ante el mismo caso. La pregunta a hacerse para estimar la probabilidad de materialización es, en primer lugar, si el activo es o no vulnerable ante determinada amenaza. Existen amenazas ante las cuales todos lo activos son vulnerables: desastres, siniestros y accidentes. Existen otras antes las cuales, dependiendo de las medidas y controles de seguridad adoptados por la organización, se puede o no ser vulnerable: las agresiones y actos intencionados. 35
Page 3 and 4: Gestión Estratégica de Seguridad
Page 5 and 6: Índice Prólogo 7 1. Introducción
Page 9 and 10: Prólogo La Seguridad de los Sistem
Page 13 and 14: Introducción Definitivamente era m
Page 15 and 16: Ilustración 1.- Seguridad de la In
Page 17 and 18: Dado el escenario planteado, en el
Page 19 and 20: que se enfrenta su organización, s
Page 21 and 22: fiduciarios y específicos de segur
Page 23 and 24: Ilustración 2.- El papel del Gobie
Page 25: sos humanos, tecnología, continuid
Page 28 and 29: 26 ción haga suya dicha política,
Page 30 and 31: 28 1. Definición del equipo de red
Page 32 and 33: 30 A la segunda de las preguntas se
Page 34 and 35: 32 les (ISO, NIST, etc.), así como
Page 38 and 39: 36 2.2.3. El riesgo como factor de
Page 40 and 41: 38 2.2.4. Algunas realidades en la
Page 42 and 43: 40 Cuando se aborda la determinaci
Page 44 and 45: ◆ 42 dicho análisis debe ser val
Page 46 and 47: 44 Su objetivo es por tanto prioriz
Page 48 and 49: 46 que a través del Plan Director
Page 50 and 51: 48 El último aspecto que se debe r
Page 52 and 53: 50 • La gestión. • Los sistema
Page 54 and 55: 52 • Existen varias líneas de de
Page 56 and 57: 54 La política de mantenimiento de
Page 58 and 59: 56 • Proporcionar seguridad de lo
Page 60 and 61: 58 tructura de cortafuegos, segment
Page 62 and 63: 60 • Dispositivos móviles accedi
Page 64 and 65: 62 • Accesos remotos (redes priva
Page 66 and 67: 64 Estas tecnologías suelen trabaj
Page 68 and 69: 66 de la continuidad se ha converti
Page 70 and 71: 68 ción y los recursos necesarios
Page 72 and 73: 70 ble de servicio estima que la en
Page 74 and 75: 72 Ilustración 14.- Priorización
Page 76 and 77: 74 la intimidad personal y familiar
Page 78 and 79: 76 Gestión de incidencias Control
Page 80 and 81: 78 • Los precios de los productos
Page 82 and 83: 80 para la realización de las audi
Page 84 and 85: 82 Si lo deseado es un resultado ho
Page 86 and 87:
84 le queda en el depósito o si ha
Page 88 and 89:
86 los indicadores y métricas de s
Page 90 and 91:
88 En definitiva, el Cuadro de Mand
Page 92 and 93:
90 Otro caso especialmente relevant
Page 94 and 95:
92 • Certificaciones de Seguridad
Page 96 and 97:
94 • ISO/IEC 27001 se centra en l
Page 98 and 99:
96 pero que no sabe si se está rea
Page 100 and 101:
98 económicos. Por ello, es fundam
Page 102 and 103:
100 esta fase se encarga también d
Page 104 and 105:
102 COBIT® parte de un concepto se
Page 106 and 107:
◆ 3.3. Gestión de Servicios TI:
Page 108 and 109:
106 1. Alcance. 2. Términos y defi
Page 111:
• ISO 17799 • COBIT • ISO 270
show all

Gestión estratégica de seguridad en la empresa - Anetcom

Create successful ePaper yourself

Delete template?

Save as template?