miércoles, 27 de febrero de 2008

Evidencias del Modulo de Seguridad

En este bloc publicare las actividades que desarrollare durante este modulo. explicando los temas que veremos con sus respectivas actividades

METODOLOGÍA DEL ANÁLISIS DE RIESGOS

Proceso por el cual se identifican las amenazas y vulnerabilidades de una organización, con el fin de generar controles que minimicen los efectos de los riesgos.

El objetivo principal de realizar un Análisis de Riesgos es evaluar los riesgos que existen en cuanto a seguridad informática para la proteccion de los activos.

Para tratar de minimizar los efectos de un problema de seguridad se realiza lo que denominamos un análisis de riesgos, término que hace referencia al proceso necesario para responder a tres cuestiones básicas sobre nuestra seguridad:
  • qué queremos proteger?
  • contra quién o qué lo queremos proteger?
  • cómo lo queremos proteger?
En la practica existen dos aproximaciones para responder a estas cuestiones, una cuantitativa y otra cualitativa.

  • La primera de ellas es con diferencia la menos usada, ya que en muchos casos implica cálculos complejos o datos difíciles de estimar. Se basa en dos parámetros fundamentales: la probabilidad de que un suceso ocurra y una estimación del coste o las pérdidas en caso de que así sea.
  • El segundo método de análisis de riesgos es el cualitativo, Es mucho más sencillo e intuitivo que el anterior, ya que ahora no entran en juego probabilidades exactas sino simplemente una estimación de pérdidas potenciales. Para ello se interrelacionan varios elementos principales:
Activo: Datos, infraestructura,hardware, software,información, servicios
Riesgo: Es la probabilidad de sufrir algún daño o perdida en el activo
Amenaza: fallo/debilidad en software,hardware, procedimiento operacional, etc. que puede hacer real una Amenaza.
Vulnerabilidad:Posibilidad de ocurrencia de la materialización de una
amenaza sobre un Activo.
Impacto: Medir la consecuencia al materializarse una amenaza.

ELEMENTOS DE UN ANÁLISIS DE RIESGOS.

  • Construir el perfil de las amenazas basado en los activos.

  • Identificar los activos de la organización.

  • Conocer las practicas actuales de seguridad.

  • Identificar las vulnerabilidades organizaciones.

  • Identificar los requerimientos de seguridad de la organización.

  • Desarrollo de estratégias y planes de seguridad.

  • Estrategias de proteccion.

La implementacion de la ISO 27001:2005 esta hecho para gestionar un sistema de seguridad de información. su propósito fundamental es el de asegurar que la información se mantenga en confidencialidad, integridad y disponibilidad.

La gestión del riesgo es el tema central de este nuevo estándar internacional. La dinámica de este nuevo estándar es bien clara en términos de mitigar la información del riesgo en la empresa. La firma tiene la autonomía de decidir el alcance del estándar, luego tiene que identificar los activos dentro del alcance y realizar por cada activo de información un análisis y evaluación del riesgo para determinar el plan de tratamiento del riesgo. Esos activos que tendrán apropiados controles para reducir los riesgos serán escogidos del estándar.

Considerando el proceso de globalizacion y las nuevas reglas del comercio internacional, las organizaciones para poder acceder a nuevos mercados y poder demostrar confianza en la cadena de suministros, tendran que implementar el ISO 27001:2005. El estándar se esta convirtiendo en un requerimiento de los mercados internacionales
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)