Escolar Documentos
Profissional Documentos
Cultura Documentos
Identificacin
tasacin de activos.
Selecin de controles
para reducir el riesgo
a nivel aceptable.
Identificacin
requerimientos
seguridad.
de
de
Selecin de opciones
de
tratamiento
de
riesgos apropiados.
Evaluacin
de
la
posibilidad de que las
amenazas
y
vulnerabilidades
ocurran.
Calculos de los
riesgos de seguridad.
Activos de informacin
Bases de datos
Archivos de datos
Documentacin del sistema
Manuales de usuario
Materiales de entrenamiento
Procedimientos operativos de apoyo
Planes de continuidad
Documentos impresos
Documentos impresos
Contratos
Lineamientos
Documentos de la compaa
Documentos de negocio
Activos de software
Software de aplicacin
Software de sistemas
Herramientas de desarrollo
Activos fsicos
Equipos de comunicacin y computacin
Medios magnticos
Otros equipos tcnicos
Personas
Personal
Clientes
Suscriptores
Imagen y reputacin de la compaa
Servicios
Servicios de computacin y comunicacin
Otros servicios
organizacin.
El conjunto nico de principios, objetivos y requerimientos para el
satisfacerse
por
la
informacin.
Probabilidad.- La real posibilidad de que tal incumplimiento ocurra a la luz
del reinado de amenazas, vulnerabilidades y controles.
La organizacin por cada uno de los riesgos, debe evaluar estas opciones para
identificar la ms adecuada. Los resultados de esta actividad deben ser
documentados y luego la firma debe documentar su plan de tratamiento del
riesgo.
Hay dos opciones en la identificacin y evaluacin del riesgo que requieren mayor
explicacin. Las alternativas son: evitar el riesgo y transferencia del riesgo.
y las monetarias.
Transferencia del riesgo. Esta opcin puede ser vista como la mejor si es
imposible reducir los niveles del riesgo. Existen muchas alternativas a
considerar en relacin a la estrategia de transferencia del riesgo. La
transferencia del riesgo podra alcanzarse tomndose una pliza de seguro.
Otra posibilidad podra ser la utilizacin de servicios de outsourcing para
que se manejen activos y procesos crticos. La responsabilidad por los
servicios tercerizados siempre recae en la empresa. Eso jams se delega.
Uso de controles
Transparencia del usuario
Ayuda otorgada a los usuarios para desempear su funcin
Relativa fuerza de los controles
Tipos de funciones desempeadas.
tanto no slo hay que identificar los elementos tangibles: ordenadores, ficheros de
datos, documentos, etc., sino tambin los intangibles: aspectos legales, imagen y
reputacin de la empresa
Tambin hay que identificar los posibles riesgos: virus informticos, intrusos en la
red (hackers), empleados malintencionados, prdidas de backups, robos de
equipos (por ejemplo porttiles), fallos en el software, una catstrofe natural
(terremotos, inundaciones), etc. De este tipo de riesgos hay que analizar cul es la
probabilidad de que ocurran. Por ejemplo, en determinadas zonas es probable que
ocurran inundaciones, lo cual puede provocar que los ordenadores se inunden y
no estn disponibles, e incluso se pierda informacin vital en la empresa.
Tipos de riesgos
Cules son los posibles ataques que puede sufrir un sistema informtico? Si
sabemos cules son los ataques podremos poner medidas de seguridad para
evitarlos. En este punto voy a enumerar los tipos de ataques ms comunes que
puede sufrir un sistema informtico y para los cuales existen, como veremos en
los puntos siguientes, medidas bastante efectivas.
Virus: es quiz el ms conocido de los riesgos, y el que ms difusin meditica ha
tenido. Un virus es un software que se propaga por la red y que cuando "infecta" a
un equipo puede producirle daos catastrficos (borrando la informacin del disco
duro infectado). El objetivo de un virus suele ser la simple destruccin del equipo
infectado. Con la difusin de Internet en los ltimos aos los virus se han
convertido en una plaga. Los virus pueden entrar por medio del navegador, del
correo electrnico, en fichero bajados de red, etc.
Hackers: el objetivo de un hacker es entrar en la red informtica de una entidad.
Lo que haga dentro ya depende del tipo de hacker: hay hackers que simplemente
lo hacen por diversin: entran y dejan un rastro para indicar que han conseguido
entrar, los hay maliciosos cuyo objetivo es sacar provecho de haber entrado: como
por ejemplo hacer transferencias, modificar notas de exmenes, obtener
Proteccin fsica: Guardias de seguridad, recintos vigilados, sistemas antiincendios (de nada vale poner medidas de seguridad informtica si
cualquier persona puede entrar en un recinto y robar un ordenador vital de
la empresa).
Medidas informticas: son los sistemas y soluciones informticas que
aumenta la seguridad de los sistemas informticos. Estos incluyen el cifrado
de la informacin, cortafuegos, antivirus, detectores de intrusos, etc.
Criptografa y autentificacin
Como elementos indispensables para implementar un sistema seguro est la
criptografa y los mecanismos de autentificacin. La criptografa es una disciplina
muy antigua cuyo objeto es la de ocultar la informacin a personas no deseadas.
La base de la criptografa ha sido el cifrado de textos, aunque se ha desarrollado
ampliamente desde la aparicin de los primeros ordenadores (Ver [3] para una
pequea historia de la criptografa).
Criptografa
El cifrado es el proceso por el que un texto es transformado en otro texto cifrado
usando una funcin matemtica (tambin denominado algoritmo de encriptacin) y
una clave. El descifrado es el proceso inverso. El objetivo de la criptografa se
puede resumir en asegurar la [5]:
autorizadas.
Integridad: el mensaje no puede ser alterado sin autorizacin.
Autentificacin: Se puede verificar que el mensaje ha sido enviado por una
Criterio de
evaluacin
Reputacin y confianza del
cliente
Financiero
Productividad
Seguridad y salud
Multas y penas legales
Probabilidad
Alta
Media
Baja
Priorida
d
Valor de rea de
impacto
Puntuaci
n
5
4
3
2
1
Alto (3)
Medio(2)
Medio(2)
Medio(2)
Alto(3)
15
8
6
4
3
Puntaje total
36
Dnde:
Grupo 1= Mitigar
Grupo 2= Mitigar o aplazar (Postergar)
Grupo 3= Aplazar o aceptar (Transferir)
Grupo 4= Aceptar
De 0 a 15
Grupo 2
Grupo 3
Grupo 4