Gestión estratégica de seguridad en la empresa - Anetcom

More documents

Recommendations

Info

38 2.2.4. Algunas realidades en la Gestión del Riesgo Lo cierto es que toda la teoría expuesta en los capítulos anteriores es aplicable y de gran utilidad. Sin embargo, tal y como se suele decir, de lo dicho al hecho hay un gran trecho. Más aún, una buena cantidad de años en el sector deja claras algunas realidades. Entre ellas, que hay multitud de entidades que desconocen lo que tienen, para qué lo usan, quiénes lo usan, y quiénes lo deberían usar. Generalmente, el problema es más acuciante cuanto mayor es la entidad y más compleja su organización. Si una entidad no sabe qué activos componen sus sistemas de información, difícilmente podrá abordar un análisis de riesgos. Obviamente, si una entidad no sabe qué activos tiene será incapaz de determinar su valor, sus vulnerabilidades y las amenazas a las que se encuentra expuesta. En mayor o menor medida las responsabilidades, los presupuestos y los activos se encuentran generalmente diluidos en la organización. De este modo, cada unidad o departamento es razonablemente consciente de los activos que utiliza para la explotación de sus procesos. Sin embargo, en general es desconocedor de los activos de soporte. Como es de esperar, exactamente lo opuesto suele ocurrir en los departamentos de sistemas y comunicaciones. Similarmente, es complicado determinar la valoración intangible de los activos de una organización y mantenerlos razonablemente actualizados. Por ejemplo, una entidad puede determinar que su imagen es un activo muy importante o incluso crítico; sin embargo, valorar la imagen no es algo obvio, y mucho menos determinar cómo los activos de los sistemas de información afectan a la misma. Posiblemente, después del cumplimiento de requisitos legales, la característica de la seguridad de los sistemas de información más fácil de justificar sea la disponibilidad. ¿Cuánto dinero pierdes si no tienes disponible durante 24 horas el servicio? La respuesta a esta pregunta suele ser inmediata cuando te contesta el responsable de una unidad que a su vez es un centro de beneficios.
Por el contrario, qué ocurre cuando le haces esta pregunta al responsable de sistemas sobre el servicio de correo electrónico o navegación en Internet. En estos casos, lo habitual es que el responsable de sistemas conteste que no lo sabe; sin embargo, es capaz de asegurar el alto número de incidencias y/o el número de coscorrones que le llegarían. Obviamente, si se hablase sobre aspectos relacionados con la confidencialidad o integridad, las discrepancias o la complejidad serían aún mayores. Aun contemplando únicamente la característica de disponibilidad, es complicado patrocinar la implantación de salvaguardas globales. Puesto que influyen a la totalidad de la entidad, estos análisis y selección de contramedidas deben ser patrocinados y financiados desde los estamentos más altos de la organización. Adicionalmente, los requisitos de seguridad son bastante particulares según el sector y relativamente dinámicos. Consecuentemente, puesto que uno de los aspectos de mayor consideración a la hora de cuantificar el riesgo es la valoración del activo o del impacto. Algo que antes era considerado de bajo riesgo puede haber evolucionado hasta considerarse en la actualidad como crítico. Con el fin de evitar falsas sensaciones de seguridad es importante mantenerlo actualizado. Paralelamente, a la hora de abordar un análisis de riesgos es fácil caer en la tentación de considerar la disponibilidad como la característica principal de la seguridad. La disponibilidad es un concepto que prácticamente todos conocen, que han sufrido en alguna ocasión y que fácilmente es asociado a pérdidas. Seguro que para muchas entidades la disponibilidad de sus sistemas es la piedra filosofal; sin embargo, teóricamente hablando es cuestionable abordar el Plan de Continuidad de un CPD valorado en 10 millones de euros con un 0,1% de probabilidad de que un desastre natural lo inutilice. A menos, claro está, que dicho CDP dé soporte al negocio de una cantidad nada despreciable de euros anuales. Tal y como se ha mencionado con anterioridad, la valoración del riesgo relacionado con la disponibilidad de los sistemas de información es relativamente sencilla. Sin embargo, ¿Qué ocurre cuando se tratan las otras dos dimensiones de la seguridad? 39
Page 3 and 4: Gestión Estratégica de Seguridad
Page 5 and 6: Índice Prólogo 7 1. Introducción
Page 9 and 10: Prólogo La Seguridad de los Sistem
Page 13 and 14: Introducción Definitivamente era m
Page 15 and 16: Ilustración 1.- Seguridad de la In
Page 17 and 18: Dado el escenario planteado, en el
Page 19 and 20: que se enfrenta su organización, s
Page 21 and 22: fiduciarios y específicos de segur
Page 23 and 24: Ilustración 2.- El papel del Gobie
Page 25: sos humanos, tecnología, continuid
Page 28 and 29: 26 ción haga suya dicha política,
Page 30 and 31: 28 1. Definición del equipo de red
Page 32 and 33: 30 A la segunda de las preguntas se
Page 34 and 35: 32 les (ISO, NIST, etc.), así como
Page 36 and 37: 34 ¿Por qué incluir en un inventa
Page 38 and 39: 36 2.2.3. El riesgo como factor de
Page 42 and 43: 40 Cuando se aborda la determinaci
Page 44 and 45: ◆ 42 dicho análisis debe ser val
Page 46 and 47: 44 Su objetivo es por tanto prioriz
Page 48 and 49: 46 que a través del Plan Director
Page 50 and 51: 48 El último aspecto que se debe r
Page 52 and 53: 50 • La gestión. • Los sistema
Page 54 and 55: 52 • Existen varias líneas de de
Page 56 and 57: 54 La política de mantenimiento de
Page 58 and 59: 56 • Proporcionar seguridad de lo
Page 60 and 61: 58 tructura de cortafuegos, segment
Page 62 and 63: 60 • Dispositivos móviles accedi
Page 64 and 65: 62 • Accesos remotos (redes priva
Page 66 and 67: 64 Estas tecnologías suelen trabaj
Page 68 and 69: 66 de la continuidad se ha converti
Page 70 and 71: 68 ción y los recursos necesarios
Page 72 and 73: 70 ble de servicio estima que la en
Page 74 and 75: 72 Ilustración 14.- Priorización
Page 76 and 77: 74 la intimidad personal y familiar
Page 78 and 79: 76 Gestión de incidencias Control
Page 80 and 81: 78 • Los precios de los productos
Page 82 and 83: 80 para la realización de las audi
Page 84 and 85: 82 Si lo deseado es un resultado ho
Page 86 and 87: 84 le queda en el depósito o si ha
Page 88 and 89: 86 los indicadores y métricas de s
Page 90 and 91:
88 En definitiva, el Cuadro de Mand
Page 92 and 93:
90 Otro caso especialmente relevant
Page 94 and 95:
92 • Certificaciones de Seguridad
Page 96 and 97:
94 • ISO/IEC 27001 se centra en l
Page 98 and 99:
96 pero que no sabe si se está rea
Page 100 and 101:
98 económicos. Por ello, es fundam
Page 102 and 103:
100 esta fase se encarga también d
Page 104 and 105:
102 COBIT® parte de un concepto se
Page 106 and 107:
◆ 3.3. Gestión de Servicios TI:
Page 108 and 109:
106 1. Alcance. 2. Términos y defi
Page 111:
• ISO 17799 • COBIT • ISO 270
show all

Gestión estratégica de seguridad en la empresa - Anetcom

Create successful ePaper yourself

Delete template?

Save as template?